Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Instagram får bøde på 405 millioner euro af irsk datatilsyn

Bird & Bird
06/10/2022
Instagram får bøde på 405 millioner euro af irsk datatilsyn
Bird & Bird logo
Den 15. september 2022 meddelte det irske datatilsyn ”Ireland’s Data Protection Commission” (DPC), at de vil ikende Instagram en bøde på 405 millioner euro, for manglende overholdelse af GDPR’s regler om behandling af børns personoplysninger. Instagram er ejet af moderselskabet Meta Platforms, der også ejer både Facebook og WhatsApp.

Baggrund

Bøden kommer på baggrund af en undersøgelse, som DPC igangsatte i september 2020. Målet med undersøgelsen var at fastslå lovligheden af Instagrams retningslinjer i perioden mellem maj 2018 og september 2020 vedrørende behandling af børns personoplysninger. Afgørelsen fokuserede primært på to forskellige typer af behandlinger, der blev udført i forbindelse med Instagram-tjenesten: 1) behandling af kontaktoplysninger (e-mail og telefonnummer) på børns brugerprofiler, der automatisk blev offentliggjort, både for brugere af Instagram og ikke-brugere, når brugerprofilen skiftede fra en almindelig konto til en erhvervs-konto, og 2) funktionen ”public-by-default” af børns Instagram-konti som generel standard.


Meta havde, i de medlemsstater, hvor der lovligt kan indgås aftaler med børn, støttet sig på databeskyttelsesforordningens artikel 6, stk. 1, litra b (behandling, der er nødvendig for at opfyldelsen af en kontrakt) som hjemmelsgrundlag for behandlingen, og som alternativ artikel 6, stk. 1, litra f (legitim interesse) i de medlemsstater, hvor aftaler ikke kan indgås med børn.


DPC godkendte i første omgang legitimiteten i disse hjemmelsgrundlag, men efter flere indsigelser fra tilsynsmyndigheder i de øvrige medlemsstater, blev sagen forelagt for Det Europæiske Databeskyttelsesråd (EDPB).


Dette gav EDPB mulighed for at afgive sin første bindende afgørelse vedrørende behandling af personoplysninger om mindreårige.


Hjemmelsgrundlag

I betragtning af de overordnede oplysninger, der blev givet til de mindreårige brugere om tjenesten i brugsbetingelserne, og at der ikke blev givet nogen specifikke oplysninger om erhvervskontofunktionen til de mindreårige brugere, mente EDPB ikke, at offentliggørelsen af kontaktoplysningerne på deres profiler med rimelighed kunne forventes af disse mindreårige brugere i forbindelse med deres brug af Instagram, herunder erhvervsprofilfunktionen.


For at fastslå, om behandlingen i stedet kunne være omfattet af artikel 6, stk. 1, litra f, foretog EDPB en afvejning af, om behandlingen var påkrævet, og såfremt dette var tilfældet, om behandlingen var mere nødvendig end hensynet til brugernes rettigheder. Navnlig fordi det var tale om mindreårige brugere, fandt rådet, at behandlingen ikke var mere påkrævet end hensynet til børnenes grundlæggende interesser eller rettigheder.


DPC identificerede en række mangler i forbindelse med gennemsigtighed, jf. artikel 5 og 12 vedrørende både offentliggørelse af børns konti som standard og offentliggørelse af børns kontaktoplysninger på erhvervskonti. Efter DPC’s opfattelse var den eksisterende ordlyd i Instagrams betingelser ikke tilstrækkelig til at give en konkret indikation til den mindreårige bruger om, at deres kontaktoplysninger ville blive vist til omverdenen.


I forbindelse med offentliggørelsen af kontaktoplysninger for erhvervskonti bemærkede DPC, at børn måske ikke var klar over, at konsekvensen af at skifte fra en almindelig konto til en erhvervskonto var offentliggørelsen af kontaktoplysninger, som tidligere kun var blevet indsamlet som en del af processen i at tilmelde sig Instagram.


Desuden gjorde DPC’s analyse det klart, at gennemsigtighedsinformation - når den er rettet mod børn - i det væsentlige skal være direkte og klart formuleret, og at der ikke er plads til nuancer i den givne information.


På baggrund af disse faktorer, instruerede EDPB, DPC i at tildele Meta en administrativ bøde proportionel med lovbruddet. Bøden på 405 mio. euro er den næsthøjeste der er uddelt under GDPR, kun overgået af bøden til Amazon i 2021 der lød på 746 mio. euro.


Flere igangværende sager

Det forventes at Meta vil appellere afgørelsen, da selskabet er uenige i bødens fastsættelse, samt at der er tale om forældede indstillinger, der løbende er blevet ændret. Meta kan dog forvente yderligere opmærksomhed, da DPC har igangværende undersøgelser af både Facebook og WhatsApp. Derudover har DPC forelagt endnu et udkast til en børnerelateret afgørelse vedrørende TikTok for den fælles beslutningsprocesure i henhold til artikel 60.

Bird & Birds kommentar

Afgørelsen er særlig interessant, fordi den udgør en milepæl i udviklingen af beskyttelsen af børn som brugere af digitale tjenester, fordi det er den første grænseoverskridende sag efter GDPR, hvor alle EU/EØS-databeskyttelsesmyndigheder har været involveret i beslutningsprocessen i henhold til databeskyttelsesforordningens artikel 60.


Dernæst er selve bødestørrelsen opsigtsvækkende, og digitale tjenester, der behandler personoplysninger om børn vil uundgåeligt revurdere deres egen praksis i forhold til den særlige beskyttelse, som børn nyder under GDPR (forordningens betragtning 38) i lyset af denne afgørelse.


Slutteligt DPC’s undersøgelse vist, at have en reel betydning for mindreårige brugere på Instagram, idet tjenesten i løbet af undersøgelsen gennemførte vigtige ændringer af kontoindstillingerne, herunder ved at give børns brugere mulighed for at vælge mellem en offentlig eller privat konto.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2023 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted