Fiatalkorú felhasználók adatvédelmi jogait sértette meg Európában a Meta csoporthoz tartozó Instagram, amiért a GDPR hatálybalépése óta a második legmagasabb bírságot szabták ki rá. Az Európai Adatvédelmi Testület (European Data Protection Board, EDPB) a jogsértés jellegére, súlyosságára, valamint az általa érintettek számára tekintettel méltányosnak ítélte a 405 millió eurós büntetést.
A Deloitte Legal szakértői szerint nem ez az első eset, hogy a Meta cégcsoportba tartozó vállalkozás európai bírságot kap. Most az EDPB július 28-ai keltezésű, kötelező érvényű vitarendezési határozatát követően döntött Írország adatvédelmi hatósága (DPC) egy rekordösszegű, 405 millió eurós bírság kiszabásáról, miután az Instagram (Meta IE) nem tett eleget a GDPR átláthatóságra vonatkozó követelményének.
Mint írták, a döntést egy hivatalból indult vizsgálat előzte meg. Ebben az Instagram üzleti fiók funkcióját használó, 13 és 17 éves kor közötti fiatalok e-mail-címeinek és/vagy telefonszámainak Instagram általi nyilvános közzététele, valamint személyes Instagram-fiókjaik alapértelmezés szerinti nyilvános beállítását vették górcső alá.
A vizsgálatból kiderült, hogy a helytelen gyakorlat kialakulásában szerepet játszott a felhasználók motivációja, figyelmetlensége, tájékozatlansága is: sok fiatal képzeli el influenszerként a jövőjét, ezen a területen pedig a látogatottság üzleti érték, ami kiemelten fontossá teszi a profilstatisztikákhoz való hozzáférés lehetőségét – fogalmaztak. Az ilyen kimutatások megismerését az Instagram csak akkor engedi, ha a profil üzleti célúra van állítva, amely alapértelmezetten nyilvánosan megtekinthető. Ez a fiatalkorúak védelmére vonatkozó adatvédelmi elvárásokkal nem összeegyeztethető.
A bírság összege mellett a döntés azért is jelentős, mert a hatóság a fiatalkorúak személyes adatainak kezelésére vonatkozóan magasabb mércét állított fel, ezért az ilyen korosztályt megcélzó szolgáltatóknak további garanciákat kell beépíteniük a gyermekek védelme érdekében
– magyarázza Orbán Zsombor, a Deloitte Legal technológia és adatvédelmi csoportjának vezetője.
Kiemelték: ez az EDPB első kötelező érvényű határozata, amely az uniós adatvédelmi jog egyik alapvető pillérével, az adatkezelés jogszerűségével foglalkozik. Ezalatt megállapították, hogy a cég eljárása nem felelt meg a jogalap alkalmazásához szükséges követelményeknek, és a fiatalok személyes adatainak jogalap nélkül, jogellenes kezelésére hivatkozva határozattervezetének módosítására utasította az ír hatóságot. Valamint a GDPR-adatkezelés jogszerűségére vonatkozó rendelkezéseinek megsértésére hivatkozva és tekintettel a jogsértés jellegére, súlyosságára, valamint nagyszámú érintettre, hatékony, arányos és visszatartó erejű bírság kiszabására szólította fel a DPC-t.
(Borítókép: David Paul Morris / Bloomberg / Getty Images)