Irland: Meta bötfälls med 390 miljoner euro för olaglig behandling och brott mot transparenskraven

Data Protection Commission (DPC) har bötfällt Meta Platforms Ireland Limited med sammanlagt 390 miljoner euro för överträdelser av dataskyddsförordningen (GDPR), i samband med dess tjänster på Facebook och Instagram.

Av DPC:s pressmeddelande framgår bland annat att DPC inlett en granskning efter två separata klagomål från registrerade i EU om Meta Irelands tjänster på Facebook och Instagram. Enligt DPC ändrade Meta Ireland, innan dataskyddsförordningen trädde i kraft den 25 maj 2018, sina användarvillkor för båda tjänsterna och den rättsliga grunden för behandling av användarnas personuppgifter, från samtycke till fullgörande av avtal, för de flesta av företagets behandlingar.

De klagande hävdade att Meta Ireland, i motsats till Meta Irlands uttalade ståndpunkt, förlitade sig på samtycke som laglig grund, och hävdade att Meta Ireland, genom att göra tillgängligheten till sina tjänster beroende av att användarna godkänner de uppdaterade användarvillkoren, krävde att användarna skulle ge sitt samtycke till behandlingen av deras personuppgifter för beteendestyrd annonsering och andra personaliserade tjänster, vilket var en överträdelse av dataskyddsförordningen.

Efter sin utredning konstaterade DPC att Meta Ireland bröt mot sina skyldigheter att tillhandahålla information enligt dataskyddsförordningen. På denna punkt noterade DPC att informationen om den rättsliga grund som Meta Ireland åberopade inte var tydligt beskriven för användarna, vilket ledde till att det inte var tillräckligt tydligt vilka behandlingar som utfördes av personuppgifterna, i vilket syfte och vilken rättslig grund som åberopades. Dessutom påpekade DPC att bristen på insyn i så viktiga frågor stred mot artiklarna 12 och 13.1 (c) GDPR, och konstaterade att detta även innebar en överträdelse av artikel 5.1 (a) GDPR.

När det gäller den rättsliga grunden konstaterade dock DPC inledningsvis att Facebooks och Instagrams tjänster omfattar och bygger på tillhandahållandet av en personaliserad tjänst som inkluderar personaliserad eller beteendebaserad reklam. DPC konstaterade därför att denna överenskommelse mellan användarna och deras valda tjänsteleverantör utgör en del av det avtal som ingås när användarna accepterar användarvillkoren. Eftersom ingen konsensus uppnåddes under samrådsförfarandet hänsköts frågan till de berörda tillsynsmyndigheterna och Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB).

Den 5 december 2022 utfärdade EDPB ett beslut, i vilket DPC noterade att EDPB bekräftat DPC:s slutsats om att öppenhetskraven hade överträtts, men hade haft en annan inställning till Meta Irlands rättsliga grund och funnit att Meta Irland inte haft rätt att åberopa den rättsliga grunden avtal för sin behandling av personuppgifter för beteendebaserad annonsering. Som ett resultat av detta antog DPC sitt slutliga beslut den 31 december 2022, vilket innebär att beslutet överensstämmer med EDPB:s slutsatser att Meta Ireland inte har rätt att åberopa den rättsliga grunden avtal i samband med tillhandahållandet av beteendestyrd reklam som en del av sina Facebook- och Instagramtjänster, och att företagets behandling av uppgifter på detta sätt utgör en överträdelse av artikel 6 GDPR.

Mot bakgrund av ovanstående höjde DPC bötesbeloppet till totalt 390 miljoner euro för överträdelser av dataskyddsförordningen i samband med tjänsterna Facebook (210 miljoner euro) och Instagram (180 miljoner euro). DPC konstaterade dessutom att Meta Ireland måste anpassa sin behandling till dataskyddsförordningen inom tre månader.

DPC kommenterade särskilt att även om EDPB begärt att det skulle genomföras en ny granskning av Facebooks och Instagrams behandling av personuppgifter, skulle detta inte ligga i linje med strukturen för de samarbets- och konsekvensarrangemang som fastställs i dataskyddsförordningen. Vidare uppgav DPC att myndigheten skulle överväga att väcka en talan om ogiltigförklaring av de anvisningar som utfärdats i detta sammanhang.

Mer information

Myndighet: Data Protection Commission (DPC)

Land: Irland EU

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 12 GDPR, art. 13 GDPR

Sanktionsavgift: 390 000 000 euro

Mottagare: Meta Platforms Ireland Limited

Beslutsnummer: N/A

Beslutsdatum: 2023-01-04

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.