Bruxelles, 15. rujna – Nakon obvezujuće odluke Europskog odbora za zaštitu podataka o rješavanju sporova od 28. srpnja irsko tijelo za zaštitu podataka donijelo je odluku o Instagramu (Meta Platforms Ireland Limited (Meta IE)) i izreklo rekordnu novčanu kaznu iz Opće uredbe o zaštiti podataka u iznosu od 405 milijuna EUR.
Konačna odluka vodećeg nadzornog tijela uslijedila je nakon istrage koju je na vlastitu inicijativu provelo u vezi s Instagramovim javnim otkrivanjem e-adresa i/ili telefonskih brojeva djece koja upotrebljavaju poslovni račun na Instagramu i zadanom javnom postavkom za osobne račune djece na Instagramu tijekom razdoblja koje je obuhvaćeno vremenskim okvirom istrage. Ta je praksa u međuvremenu okončana kao posljedica istrage vodećeg nadzornog tijela. Predsjednica Europskog odbora za zaštitu podataka Andrea Jelinek izjavila je: „Ovo je povijesna odluka. Ne samo zbog visine novčane kazne – to je druga najviša novčana kazna od početka primjene Opće uredbe o zaštiti podataka – nego i zato što je to prva odluka na razini EU-a o pravima djece na zaštitu podataka. Europski odbor za zaštitu podataka tom obvezujućom odlukom dodatno pojašnjava da društva koja ciljaju djecu moraju biti posebno oprezna. Djeca zaslužuju posebnu zaštitu kad je riječ o njihovim osobnim podacima.”
Obvezujuća odluka Europskog odbora za zaštitu podataka donesena je na temelju članka 65. Opće uredbe o zaštiti podataka nakon što je irsko tijelo za zaštitu podataka kao vodeće nadzorno tijelo pokrenulo postupak rješavanja sporova u vezi s prigovorima nekoliko predmetnih nadzornih tijela. Među ostalim, predmetna nadzorna tijela iznijela su prigovore u pogledu pravne osnove za obradu i određivanje novčane kazne. Odbor za zaštitu podataka naknadno je izmijenio svoj nacrt odluke nakon postupka rješavanja sporova.
To je prva obvezujuća odluka Europskog odbora za zaštitu podataka o jednom od temeljnih stupova zakonodavstva EU-a o zaštiti podataka: zakonitosti obrade u skladu s člankom 6. Opće uredbe o zaštiti podataka. Konkretno, Europski odbor za zaštitu podataka dodatno je pojasnio primjenjivost pravnih osnova „izvršenja ugovora” i „legitimnog interesa”.
Meta IE se alternativno oslonio na te dvije pravne osnove za objavu e-adresa i/ili telefonskih brojeva djece koja su se koristila poslovnim računima na Instagramu. Europski odbor za zaštitu podataka utvrdio je da nema razloga da vodeće nadzorno tijelo zaključi da je predmetna obrada nužna za izvršenje ugovora. Stoga se društvo Meta IE nije moglo osloniti na članak 6. stavak 1. točku (b) Opće uredbe o zaštiti podataka kao pravnu osnovu za tu obradu.
Kad je riječ o legitimnom interesu kao alternativnoj pravnoj osnovi za obradu, Europski odbor za zaštitu podataka utvrdio je da objava e-adresa i/ili telefonskih brojeva djece ne ispunjava zahtjeve iz članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka jer je obrada bila nepotrebna ili, ako se smatrala potrebnom, nije prošla test ravnoteže potreban za utvrđivanje legitimnog interesa.
Europski odbor za zaštitu podataka stoga je zaključio da je Meta IE nezakonito obradio osobne podatke djece bez pravne osnove i naložio vodećem nadzornom tijelu da izmijeni svoj nacrt odluke kako bi utvrdilo povredu članka 6. stavka 1. Opće uredbe o zaštiti podataka.
Naposljetku, Europski odbor za zaštitu podataka naložio je vodećem nadzornom tijelu da preispita svoju predviđenu upravnu novčanu kaznu u skladu s člankom 83. stavcima 1. i 2. Opće uredbe o zaštiti podataka kako bi:
- izreklo učinkovitu, razmjernu i odvraćajuću upravnu novčanu kaznu za dodatnu povredu, uzimajući u obzir prirodu i težinu povrede te broj ispitanika na koje se povreda odnosi;
- osiguralo da konačni iznosi upravnih novčanih kazni budu učinkoviti, razmjerni i odvraćajući.
Ovom se odlukom ne dovode u pitanje procjene koje Europski odbor za zaštitu podataka može provesti u drugim predmetima, među ostalim s istim stranama.
Konačna odluka koju je donijelo irsko tijelo za zaštitu podataka dostupna je u Registru odluka koje donose nadzorna tijela i sudovi o pitanjima koja se rješavaju u okviru mehanizma konzistentnosti.
Dodatne informacije o postupku iz članka 65. Opće uredbe o zaštiti podataka dostupne su u dokumentu Najčešća pitanja o članku 65.
EDPB_Priopćenje za medije_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.