Irlandzka Komisja Ochrony Danych oficjalnie ogłosiła decyzję o nałożeniu administracyjnej kary pieniężnej w wysokości 405 milionów euro na Instagram Meta. To druga pod względem wielkości grzywna, jaką kiedykolwiek nałożono w ramach ogólnego unijnego rozporządzenia o ochronie danych (RODO). Na ostateczną sumę grzywny składa się łącznie dziesięć kar.
Decyzja irlandzkiego organu nadzorczego jest wynikiem dochodzenia w sprawie ujawnienia przez Instagram adresów e-mail oraz numerów telefonów dzieci korzystających z konta biznesowego, oraz ustawienia public-by-default dla osobistych kont Instagram dzieci.
Ochrona prywatności dzieci w Internecie – wskazówki polskiego i brytyjskiego organu nadzorczego
Instagram powołał się na dwie alternatywne podstawy prawne w odniesieniu do publikacji adresów e-mail lub numerów telefonów dzieci, które korzystały z kont biznesowych na Instagramie. Organizacja powoływała się na: art. 6 ust. 1 lit. f i lit. b RODO tj. uzasadniony interes prawny oraz niezbędność do wykonania umowy.
W swojej decyzji organ stwierdził, że nie było podstaw do uznania, że przedmiotowe przetwarzanie było niezbędne do wykonania umowy. W związku z tym Instagram nie mógł powoływać się na art. 6 ust. 1 lit. b RODO jako podstawy prawnej tego przetwarzania. Dodatkowo stwierdzono, że publikacja adresów e-mail lub numerów telefonów dzieci nie spełnia wymogów określonych w art. 6 ust. 1 lit. f RODO, ponieważ przetwarzanie było albo zbędne, albo (jeśli miałoby być uznane za niezbędne) nie przeszło testu równowagi wymaganego przy określaniu uzasadnionego interesu.
Kolejnym naruszeniem przez Instagram było brak wdrożenia środków zapewniających, że domyślnie treści mediów społecznościowych należące do dzieci nie były udostępniane (bez interwencji użytkownika) nieokreślonej liczbie osób fizycznych.
Dwa kolejne naruszenia dotyczyły publicznego domyślnego przetwarzania i przetwarzania danych kontaktowych na podstawie art. 12 ust. 1 RODO. Wraz z karą finansową organ nadzoru nakazał Instagramowi „doprowadzenie przetwarzania do zgodności poprzez podjęcie szeregu określonych działań zaradczych”. Europejska Rada Ochrony Danych zauważyła, że wiążąca decyzja irlandzkiego organu jest pierwszą dotyczącą zgodności z prawem przetwarzania zgodnie z art. 6 RODO.
Postępowanie z naruszeniami i kontrole Prezesa UODO
Treść decyzji w j. angielskim:
https://edpb.europa.eu/system/files/2022-09/in-20-7-4_final_decision_-_redacted.pdf
