Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Instagram får bøde på 405 millioner euro af irsk datatilsyn

Bird & Bird
06/10/2022
Instagram får bøde på 405 millioner euro af irsk datatilsyn
Bird & Bird logo
Den 15. september 2022 meddelte det irske datatilsyn ”Ireland’s Data Protection Commission” (DPC), at de vil ikende Instagram en bøde på 405 millioner euro, for manglende overholdelse af GDPR’s regler om behandling af børns personoplysninger. Instagram er ejet af moderselskabet Meta Platforms, der også ejer både Facebook og WhatsApp.

Baggrund

Bøden kommer på baggrund af en undersøgelse, som DPC igangsatte i september 2020. Målet med undersøgelsen var at fastslå lovligheden af Instagrams retningslinjer i perioden mellem maj 2018 og september 2020 vedrørende behandling af børns personoplysninger. Afgørelsen fokuserede primært på to forskellige typer af behandlinger, der blev udført i forbindelse med Instagram-tjenesten: 1) behandling af kontaktoplysninger (e-mail og telefonnummer) på børns brugerprofiler, der automatisk blev offentliggjort, både for brugere af Instagram og ikke-brugere, når brugerprofilen skiftede fra en almindelig konto til en erhvervs-konto, og 2) funktionen ”public-by-default” af børns Instagram-konti som generel standard.


Meta havde, i de medlemsstater, hvor der lovligt kan indgås aftaler med børn, støttet sig på databeskyttelsesforordningens artikel 6, stk. 1, litra b (behandling, der er nødvendig for at opfyldelsen af en kontrakt) som hjemmelsgrundlag for behandlingen, og som alternativ artikel 6, stk. 1, litra f (legitim interesse) i de medlemsstater, hvor aftaler ikke kan indgås med børn.


DPC godkendte i første omgang legitimiteten i disse hjemmelsgrundlag, men efter flere indsigelser fra tilsynsmyndigheder i de øvrige medlemsstater, blev sagen forelagt for Det Europæiske Databeskyttelsesråd (EDPB).


Dette gav EDPB mulighed for at afgive sin første bindende afgørelse vedrørende behandling af personoplysninger om mindreårige.


Hjemmelsgrundlag

I betragtning af de overordnede oplysninger, der blev givet til de mindreårige brugere om tjenesten i brugsbetingelserne, og at der ikke blev givet nogen specifikke oplysninger om erhvervskontofunktionen til de mindreårige brugere, mente EDPB ikke, at offentliggørelsen af kontaktoplysningerne på deres profiler med rimelighed kunne forventes af disse mindreårige brugere i forbindelse med deres brug af Instagram, herunder erhvervsprofilfunktionen.


For at fastslå, om behandlingen i stedet kunne være omfattet af artikel 6, stk. 1, litra f, foretog EDPB en afvejning af, om behandlingen var påkrævet, og såfremt dette var tilfældet, om behandlingen var mere nødvendig end hensynet til brugernes rettigheder. Navnlig fordi det var tale om mindreårige brugere, fandt rådet, at behandlingen ikke var mere påkrævet end hensynet til børnenes grundlæggende interesser eller rettigheder.


DPC identificerede en række mangler i forbindelse med gennemsigtighed, jf. artikel 5 og 12 vedrørende både offentliggørelse af børns konti som standard og offentliggørelse af børns kontaktoplysninger på erhvervskonti. Efter DPC’s opfattelse var den eksisterende ordlyd i Instagrams betingelser ikke tilstrækkelig til at give en konkret indikation til den mindreårige bruger om, at deres kontaktoplysninger ville blive vist til omverdenen.


I forbindelse med offentliggørelsen af kontaktoplysninger for erhvervskonti bemærkede DPC, at børn måske ikke var klar over, at konsekvensen af at skifte fra en almindelig konto til en erhvervskonto var offentliggørelsen af kontaktoplysninger, som tidligere kun var blevet indsamlet som en del af processen i at tilmelde sig Instagram.


Desuden gjorde DPC’s analyse det klart, at gennemsigtighedsinformation - når den er rettet mod børn - i det væsentlige skal være direkte og klart formuleret, og at der ikke er plads til nuancer i den givne information.


På baggrund af disse faktorer, instruerede EDPB, DPC i at tildele Meta en administrativ bøde proportionel med lovbruddet. Bøden på 405 mio. euro er den næsthøjeste der er uddelt under GDPR, kun overgået af bøden til Amazon i 2021 der lød på 746 mio. euro.


Flere igangværende sager

Det forventes at Meta vil appellere afgørelsen, da selskabet er uenige i bødens fastsættelse, samt at der er tale om forældede indstillinger, der løbende er blevet ændret. Meta kan dog forvente yderligere opmærksomhed, da DPC har igangværende undersøgelser af både Facebook og WhatsApp. Derudover har DPC forelagt endnu et udkast til en børnerelateret afgørelse vedrørende TikTok for den fælles beslutningsprocesure i henhold til artikel 60.

Bird & Birds kommentar

Afgørelsen er særlig interessant, fordi den udgør en milepæl i udviklingen af beskyttelsen af børn som brugere af digitale tjenester, fordi det er den første grænseoverskridende sag efter GDPR, hvor alle EU/EØS-databeskyttelsesmyndigheder har været involveret i beslutningsprocessen i henhold til databeskyttelsesforordningens artikel 60.


Dernæst er selve bødestørrelsen opsigtsvækkende, og digitale tjenester, der behandler personoplysninger om børn vil uundgåeligt revurdere deres egen praksis i forhold til den særlige beskyttelse, som børn nyder under GDPR (forordningens betragtning 38) i lyset af denne afgørelse.


Slutteligt DPC’s undersøgelse vist, at have en reel betydning for mindreårige brugere på Instagram, idet tjenesten i løbet af undersøgelsen gennemførte vigtige ændringer af kontoindstillingerne, herunder ved at give børns brugere mulighed for at vælge mellem en offentlig eller privat konto.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted