Sektarákvörðun fyrir Instagram eftir inngrip EDPB
Í kjölfar bindandi ákvörðunar Evrópska persónuverndarráðsins (EDPB) um lausn í deilumáli frá 28. júlí síðastliðnum hefur írska persónuverndarstofnunin samþykkt ákvörðun varðandi Instagram (Meta Platforms Ireland Limited (Meta IE).
Lokaákvörðun írsku persónuverndarstofnunarinnar var tekin eftir athugun hennar á opinberri birtingu Instagram á netföngum og/eða símanúmerum barna sem nota viðskiptaviðmót Instagram og sjálfgefnum stillingum á Instagram-reikningum þeirra á tilteknu tímabili.
EDPB samþykkti bindandi ákvörðun á grundvelli 65. gr. persónuverndarreglugerðarinnar eftir að írska persónuverndarstofnunin hóf málsmeðferð við lausn deilumála vegna andmæla hlutaðeigandi eftirlitsstjórnvalda (e. Concerned Supervisory Authority, CSA). Lögðu stofnanirnar meðal annars fram andmæli sem lutu að lagagrundvelli vinnslunnar og ákvörðun um fjárhæð sektar. Í ákvörðun EDPB eru lagðar til breytingar á drögum ákvörðunarinnar hvað þetta varðar.
Ákvörðunin er sú fyrsta hjá EDPB sem fjallar um eitt af meginatriðum persónuverndarreglugerðarinnar, þ.e. lögmæti vinnslu skv. 6. gr. reglugerðarinnar. Í ákvörðuninni eru veittar frekari skýringar á því hvenær sé hægt að byggja heimild til vinnslu persónuupplýsinga á því að vinnslan sé nauðsynleg við framkvæmd samnings og lögmætra hagsmuna.
Í ákvörðuninni kemur fram að Meta IE byggði vinnslu sína á þessum tveim heimildum við birtingu netfanga og/eða símanúmera barna sem notuðu viðskiptareikninga Instagram. EDPB komst að því að engar forsendur væru til að álykta að vinnslan væri nauðsynleg til að efna samning. Þar af leiðandi hafi Meta IE ekki geta byggt á grundvelli 6. gr. persónuverndarreglugerðarinnar. Hvað varðar vinnslu persónuupplýsinga á grundvelli þess að hún væri nauðsynleg vegna lögmætra hagsmuna komst EDPB að því að birting netfanga og/eða símanúmera barna uppfylli ekki skilyrði ákvæðisins, þar sem vinnslan var ekki nauðsynleg. Hafi hún verið talin nauðsynleg, þá hefði ekki farið fram mat á þeim hagsmunum sem undir voru í málinu og gerð er krafa um samkvæmt löggjöfinni þegar stuðst er við lögmæta hagsmuni sem vinnsluheimild.
Með vísan til framangreinds komst EDPB að þeirri niðurstöðu að Meta IE hafi unnið persónuupplýsingar barna á ólöglegan hátt og án fullnægjandi lagaheimildar. Var því lagt fyrir forystustjórnvaldið (írsku persónuverndarstofnuninna) að breyta drögum að ákvörðun sinni þannig að staðfest væru brot gegn 6. gr. persónuverndarreglugerðarinnar.
EDPB lagði einnig fyrir persónuverndarstofnunina að endurmeta fyrirhugaða stjórnvaldssekt til að:
- Leggja á skilvirka, hlutfallslega og letjandi stjórnsýslusekt fyrir viðbótarbrotið, að teknu tilliti til eðlis og alvarleika brotsins, sem og fjölda skráðra einstaklinga sem verða fyrir áhrifum;
- Tryggja að endanlegar fjárhæðir stjórnvaldssekta séu skilvirkar, í réttu hlutfalli við brotið og letjandi.