På baggrund af Det Europæiske Databeskyttelsesråds (EDPB’s) bindende afgørelser har det irske datatilsyn nu truffet sin endelige afgørelse i to sager mod Meta og udsteder en samlet bøde på 390 millioner euro – svarende til ca. 2,9 milliarder danske kroner.
Som følge af Det Europæiske Databeskyttelsesråds (EDPB’s) bindende afgørelser, der blev vedtaget på EDPB-mødet den 5. december 2022, har det irske datatilsyn nu truffet endelige afgørelser i tilsynets to sager mod Meta Platforms Ireland Limited. Den ene afgørelse drejer sig om Facebook, hvor tilsynet har udstedt en bøde på 210 millioner euro, og den anden om Instagram, hvor tilsynet udstedte en bøde på 180 millioner euro. Den samlede bøde til Meta beløber sig således til 390 millioner euro – svarende til ca. 2,9 milliarder danske kroner.
Herudover har det irske tilsyn udstedt påbud til Meta om at bringe sine behandlingsaktiviteter i overensstemmelse med GDPR.
Med afgørelserne fastslår det irske datatilsyn bl.a., at opfyldelse af en kontrakt ikke er et passende lovligt grundlag (behandlingshjemmel), når formålet med behandlingen er adfærdsbaseret markedsføring.
EDPB traf bindende afgørelse efter indsigelser fra tilsynsmyndigheder Ifølge GDPR kan EDPB vedtage såkaldte bindende afgørelser, hvis en eller flere tilsynsmyndigheder gør relevant indsigelse mod den ledende tilsynsmyndigheds (i dette tilfælde Irlands) forslag til en afgørelse i grænseoverskridende sager, dvs. sager som denne sag, der berører borgere i flere europæiske lande. Indsigelserne mod det irske tilsyns forslag til afgørelse handlede blandt andet om hjemlen for behandlingen af personoplysninger og bødestørrelsen.
For at nå til enighed om en bindende afgørelse i EDPB iværksatte det irske datatilsyn den såkaldte tvistbilæggelsesprocedure. Sagen blev herefter forelagt EDPB, hvor bl.a. det danske datatilsyn har været med til at udforme den bindende afgørelse.
Det irske tilsyn udstedte også en bøde til Meta i september 2022 på baggrund af en sag, der bl.a. handlede om Instagrams offentliggørelse af e-mailadresser og telefonnumre på mindreårige, der havde såkaldte Instagram Business-kontoer, og en ”public-by-default”-indstilling for mindreåriges personlige Instagram-profiler. Læs det irske datatilsyns pressemeddelelse om sagen her. Læs en FAQ om tvistbilæggelsesproceduren her. Læs mere om behandlingshjemler her.
Kilde: datatilsynet.dk
Comments