„A bírság összege mellett a döntés azért is jelentős, mert a hatóság a fiatalkorúak személyes adatainak kezelésére vonatkozóan magasabb mércét állított fel, ezért az ilyen korosztályt megcélzó szolgáltatóknak további garanciákat kell beépíteniük a gyermekek védelme érdekében” – magyarázza dr. Orbán Zsombor, a Deloitte Legal technológia és adatvédelmi csoportjának vezetője.

Ez az EDPB első kötelező érvényű határozata, amely az uniós adatvédelmi jog egyik alapvető pillérével, az adatkezelés jogszerűségével foglalkozik. A dokumentumban kiemelt szerepet kap a szerződés teljesítése és a jogos érdek jogalapok alkalmazhatósága, miután a Meta IE erre a két jogalapra támaszkodott az Instagram üzleti fiókokat használó fiatalok e-mail-címeinek és/vagy telefonszámainak közzétételekor.

Az EDPB megállapította, hogy a cég eljárása nem felelt meg a jogalap alkalmazásához szükséges követelményeknek. Ezzel korábbi állásfoglalása felülvizsgálatára utasította a DPC-t azzal érvelve, hogy az adatkezelés vagy szükségtelen volt, vagy ha szükséges is lett volna, nem teljesítette a jogos érdek megállapításához szükséges érdekmérlegelési tesztet.

A fiatalok személyes adatainak jogalap nélkül, jogellenes kezelésére hivatkozva határozattervezetének módosítására utasította az ír hatóságot. És nem is érte be ennyivel: a GDPR adatkezelés jogszerűségére vonatkozó rendelkezéseinek megsértésére hivatkozva, valamint tekintettel a jogsértés jellegére, súlyosságára, valamint nagyszámú érintettre, hatékony, arányos és visszatartó erejű bírság kiszabására szólította fel a DPC-t.