Euroopan tietosuojaneuvosto otti kantaa lasten henkilötietojen käsittelyn lainmukaisuuteen Instagramissa – ennätyksellinen seuraamusmaksu Metalle
Irlannin tietosuojaviranomainen määräsi syyskuussa Euroopan tietosuojaneuvoston kiistanratkaisumenettelyssä tehdyn päätöksen perusteella Meta Platforms Ireland Limitedille kaikkien aikojen toiseksi suurimman seuraamusmaksun tietosuojarikkomuksista lasten henkilötietojen käsittelyssä Instagramissa. Sekä Irlannin päätös Instagram-selvityksestä että tietosuojaneuvoston kiistanratkaisupäätös on nyt julkaistu. Tietosuojaneuvosto otti kantaa muun muassa siihen, oliko Metalla lainmukainen peruste tavoille, joilla se käsitteli lasten henkilötietoja.
Irlannin tietosuojaviranomainen alkoi selvittää Instagramin lapsikäyttäjien henkilötietojen käsittelyä syksyllä 2020. Selvityksessään se havaitsi puutteita, jotka liittyivät Instagram-yritystiliä käyttävien lasten sähköpostiosoitteiden ja puhelinnumeroiden julkistamiseen sekä lasten henkilökohtaisten Instagram-tilien oletusarvoisesti päällä olevaan julkisuusasetukseen.
Asiaa käsiteltiin heinäkuussa Euroopan talousalueen tietosuojaviranomaisten välisessä yhteistyössä. Irlanti siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn sen jälkeen, kun useat asian käsittelyyn osallistuneet valvontaviranomaiset olivat esittäneet vastalauseita Irlannin päätösluonnoksesta. Myös tietosuojavaltuutetun toimisto oli osapuolena asian käsittelyssä osana tietosuojaneuvostoa.
”Tämä on ensimmäinen EU:n laajuinen päätös lasten tietosuojaoikeuksista. Tällä päätöksellä Euroopan tietosuojaneuvosto tekee erityisen selväksi, että lapsille suunnattuja palveluita tarjoavien yritysten on oltava erityisen varovaisia. Lapset ansaitsevat erityistä suojelua henkilötietojensa osalta”, tietosuojaneuvoston puheenjohtaja Andrea Jelinek kommentoi kiistanratkaisupäätöstä.
Sopimuksen täytäntöönpano tai oikeutettu etu eivät soveltuneet lasten henkilötietojen käsittelyperusteiksi
Tietosuojaneuvosto otti ensimmäistä kertaa kiistanratkaisupäätöksessä kantaa henkilötietojen käsittelyn lainmukaisuuteen. Lainmukaisuus on yksi EU:n tietosuojalainsäädännön peruspilareista.
Päätöksessä arvioitiin erityisesti sopimuksen täytäntöönpanoa sekä oikeutettua etua koskevien käsittelyperusteiden soveltuvuutta. Tietosuojaneuvosto totesi, että lasten sähköpostiosoitteiden tai puhelinnumeroiden julkaiseminen ei täyttänyt oikeutettua etua koskevia vaatimuksia, eikä tällainen tietojen käsittely ollut tarpeen sopimuksen täytäntöönpanemiseksi. Tietosuojaneuvosto katsoi siksi, että Meta käsitteli lasten henkilötietoja lainvastaisesti ilman soveltuvaa käsittelyperustetta.
Irlannin tietosuojaviranomainen täsmensi päätöstään ja seuraamusmaksun määrittelyä tietosuojaneuvoston kiistanratkaisupäätöksen perusteella. Metalle määrättiin 405 miljoonan euron seuraamusmaksu sekä annettiin huomautus tietosuojalainsäädännön rikkomuksista. Lisäksi yhtiö määrättiin korjaamaan käytäntönsä lainmukaisiksi. Tutkinnan seurauksena Meta on sittemmin muuttanut käytäntöjään Instagramiin liittyvässä henkilötietojen käsittelyssä.
Irlannin tietosuojaviranomaisen päätös on julkaistu tietosuojaneuvoston rekisterissä, joka kokoaa yhteen ETA-maiden tietosuojaviranomaisten yhteistyössä tehdyt päätökset.
Lähde: Tietosuojavaltuutetun toimiston tiedote 26.9.2022
Juridiikan ja talouden uutiskirje
Juridiikan ja talouden uutiskirje kokoaa uutiset ja ajankohtaiset sisällöt talouden, verotuksen ja juridiikan eri osa-alueista yhteen kirjeeseen. Voit räätälöidä kirjeen sisällön sinua kiinnostavista aihealueista. Uutiskirje ilmestyy joka arkipäivä.
Kirjoittaja Juridiikan ja talouden uutiskirjeen toimitus
Juridiikan ja talouden uutiskirje
Juridiikan ja talouden uutiskirje kokoaa uutiset ja ajankohtaiset sisällöt talouden, verotuksen ja juridiikan eri osa-alueista yhteen kirjeeseen. Voit räätälöidä kirjeen sisällön sinua kiinnostavista aihealueista. Uutiskirje ilmestyy joka arkipäivä.