Instagram får bøde på 405 millioner euro af irsk datatilsyn
Baggrund
Bøden kommer på baggrund af en undersøgelse, som DPC igangsatte i september 2020. Målet med undersøgelsen var at fastslå lovligheden af Instagrams retningslinjer i perioden mellem maj 2018 og september 2020 vedrørende behandling af børns personoplysninger. Afgørelsen fokuserede primært på to forskellige typer af behandlinger, der blev udført i forbindelse med Instagram-tjenesten: 1) behandling af kontaktoplysninger (e-mail og telefonnummer) på børns brugerprofiler, der automatisk blev offentliggjort, både for brugere af Instagram og ikke-brugere, når brugerprofilen skiftede fra en almindelig konto til en erhvervs-konto, og 2) funktionen ”public-by-default” af børns Instagram-konti som generel standard.
Meta havde, i de medlemsstater, hvor der lovligt kan indgås aftaler med børn, støttet sig på databeskyttelsesforordningens artikel 6, stk. 1, litra b (behandling, der er nødvendig for at opfyldelsen af en kontrakt) som hjemmelsgrundlag for behandlingen, og som alternativ artikel 6, stk. 1, litra f (legitim interesse) i de medlemsstater, hvor aftaler ikke kan indgås med børn.
DPC godkendte i første omgang legitimiteten i disse hjemmelsgrundlag, men efter flere indsigelser fra tilsynsmyndigheder i de øvrige medlemsstater, blev sagen forelagt for Det Europæiske Databeskyttelsesråd (EDPB).
Dette gav EDPB mulighed for at afgive sin første bindende afgørelse vedrørende behandling af personoplysninger om mindreårige.
Hjemmelsgrundlag
I betragtning af de overordnede oplysninger, der blev givet til de mindreårige brugere om tjenesten i brugsbetingelserne, og at der ikke blev givet nogen specifikke oplysninger om erhvervskontofunktionen til de mindreårige brugere, mente EDPB ikke, at offentliggørelsen af kontaktoplysningerne på deres profiler med rimelighed kunne forventes af disse mindreårige brugere i forbindelse med deres brug af Instagram, herunder erhvervsprofilfunktionen.
For at fastslå, om behandlingen i stedet kunne være omfattet af artikel 6, stk. 1, litra f, foretog EDPB en afvejning af, om behandlingen var påkrævet, og såfremt dette var tilfældet, om behandlingen var mere nødvendig end hensynet til brugernes rettigheder. Navnlig fordi det var tale om mindreårige brugere, fandt rådet, at behandlingen ikke var mere påkrævet end hensynet til børnenes grundlæggende interesser eller rettigheder.
DPC identificerede en række mangler i forbindelse med gennemsigtighed, jf. artikel 5 og 12 vedrørende både offentliggørelse af børns konti som standard og offentliggørelse af børns kontaktoplysninger på erhvervskonti. Efter DPC’s opfattelse var den eksisterende ordlyd i Instagrams betingelser ikke tilstrækkelig til at give en konkret indikation til den mindreårige bruger om, at deres kontaktoplysninger ville blive vist til omverdenen.
I forbindelse med offentliggørelsen af kontaktoplysninger for erhvervskonti bemærkede DPC, at børn måske ikke var klar over, at konsekvensen af at skifte fra en almindelig konto til en erhvervskonto var offentliggørelsen af kontaktoplysninger, som tidligere kun var blevet indsamlet som en del af processen i at tilmelde sig Instagram.
Desuden gjorde DPC’s analyse det klart, at gennemsigtighedsinformation - når den er rettet mod børn - i det væsentlige skal være direkte og klart formuleret, og at der ikke er plads til nuancer i den givne information.
På baggrund af disse faktorer, instruerede EDPB, DPC i at tildele Meta en administrativ bøde proportionel med lovbruddet. Bøden på 405 mio. euro er den næsthøjeste der er uddelt under GDPR, kun overgået af bøden til Amazon i 2021 der lød på 746 mio. euro.
Flere igangværende sager
Det forventes at Meta vil appellere afgørelsen, da selskabet er uenige i bødens fastsættelse, samt at der er tale om forældede indstillinger, der løbende er blevet ændret. Meta kan dog forvente yderligere opmærksomhed, da DPC har igangværende undersøgelser af både Facebook og WhatsApp. Derudover har DPC forelagt endnu et udkast til en børnerelateret afgørelse vedrørende TikTok for den fælles beslutningsprocesure i henhold til artikel 60.
Bird & Birds kommentar
Afgørelsen er særlig interessant, fordi den udgør en milepæl i udviklingen af beskyttelsen af børn som brugere af digitale tjenester, fordi det er den første grænseoverskridende sag efter GDPR, hvor alle EU/EØS-databeskyttelsesmyndigheder har været involveret i beslutningsprocessen i henhold til databeskyttelsesforordningens artikel 60.
Dernæst er selve bødestørrelsen opsigtsvækkende, og digitale tjenester, der behandler personoplysninger om børn vil uundgåeligt revurdere deres egen praksis i forhold til den særlige beskyttelse, som børn nyder under GDPR (forordningens betragtning 38) i lyset af denne afgørelse.
Slutteligt DPC’s undersøgelse vist, at have en reel betydning for mindreårige brugere på Instagram, idet tjenesten i løbet af undersøgelsen gennemførte vigtige ændringer af kontoindstillingerne, herunder ved at give børns brugere mulighed for at vælge mellem en offentlig eller privat konto.