Nakon obvezujuće odluke EDPB-a (Europski odbor za zaštitu podataka) donesene na temelju čl. 65 GDPR-a nakon što je irsko nadzorno tijelo kao vodeće nadzorno tijelo pokrenulo postupak rješavanja spora u vezi s primjedbama nekoliko drugih nadzornih tijela - irsko nadzorno tijelo donijelo je svoju odluku u vezi s Instagramom (Meta Platforms Ireland Limited) i izdalo rekordnu GDPR kaznu od 405 milijuna eura.
Konačna odluka uslijedila je nakon istrage o javnom otkrivanju adresa e-pošte i/ili telefonskih brojeva djece koja koriste poslovni račun na Instagramu i zbog automatske postavke da su osobni računi djece na Instagramu javni (praksa koja je u međuvremenu prekinuta kao posljedica istrage).
Predsjednica EDPB-a Andrea Jelinek rekla je: „Ovo je povijesna odluka. Ne samo zbog visine kazne – ovo je druga najviša kazna od stupanja na snagu GDPR-a – to je i prva odluka na razini EU-a o pravima djece na zaštitu podataka. Ovom obvezujućom odlukom, EDPB jasno daje do znanja da tvrtke koje nude svoje usluge i djeci moraju biti posebno oprezne. Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka.”
Druga nadzorna tijela su iznijela prigovore koji se odnose na pravnu osnovu za obradu i određivanje novčane kazne. Irsko nadzorno tijelo je naknadno unijelo izmjene i dopune svog nacrta odluke nakon postupka rješavanja spora.
Ovo je prva obvezujuća odluka EDPB-a koja se bavi jednim od temeljnih stupova prava EU-a o zaštiti podataka: zakonitosti obrade u skladu s čl. 6 GDPR. EDPB je posebno pružio dodatna pojašnjenja o primjenjivosti pravnih osnova „izvršenja ugovora” i „legitimnog interesa”.
Meta se oslanjala na ove dvije pravne osnove za objavljivanje adresa e-pošte i/ili telefonskih brojeva djece koja su koristila Instagram poslovne račune. EDPB je utvrdio da nije bilo osnove da irsko nadzorno tijelo zaključi da je dotična obrada nužna za izvršenje ugovora. Posljedično, Meta se nije mogla pozvati na čl. 6(1)(b) GDPR kao pravni temelj za ovu obradu.
Što se tiče legitimnog interesa, kao alternativne pravne osnove za obradu, EDPB je utvrdio da objava adresa e-pošte i/ili telefonskih brojeva djece ne ispunjava uvjete iz čl. 6(1)(f) GDPR, budući da je obrada ili bila nepotrebna ili, ako se smatrala potrebnom, nije prošla test ravnoteže koji je potrebno provesti prilikom utvrđivanja legitimnog interesa.
EDPB je stoga zaključio da je Meta bez zakonske osnove obrađivala osobne podatke djece te je naložio irskom nadzornom tijelu da izmijeni prijedlog odluke kako bi se utvrdila povreda čl. 6(1) GDPR.
Konačno, EDPB je uputio nadzorno tijelo da ponovno procijeni svoju predviđenu upravnu kaznu u skladu s čl. 83(1) i 83(2) GDPR, uzimajući u obzir da kazna mora biti učinkovita, razmjerna i odvraćajuća te da se mora uzeti u obzir priroda i težina povrede, kao i broj pogođenih ispitanika.