Det er den næststørste GDPR-bøde, der nogensinde er blevet udstedt. Herudover har det irske tilsyn udstedt påbud til Instagram om at bringe sine behandlingsaktiviteter i overensstemmelse med GDPR.

Det irske Datatilsyn startede en sag af egen drift for dels at undersøge Instagrams offentliggørelse af e-mail adresser og telefonnumre på mindreårige, der havde såkaldte Instagram Business-kontoer, og dels at undersøge en ”public-by-default”-indstilling for mindreåriges personlige Instagram-profiler.

Instagram har efterfølgende standset sin praksis på området på baggrund af sagen.

EDPB (Det Europæiske Databeskyttelsesråd) traf bindende afgørelse efter indsigelser fra bl.a. det danske Datatilsynet.

Ifølge GDPR kan EDPB vedtage såkaldte bindende afgørelser, hvis en eller flere tilsynsmyndigheder gør relevant indsigelse mod den ledende tilsynsmyndigheds (i dette tilfælde Irlands) forslag til en afgørelse i grænseoverskridende sager, dvs. sager som denne Instagram-sag, der berører borgere i flere europæiske lande. Indsigelserne mod det irske tilsyns forslag til afgørelse handlede blandt andet om hjemlen for behandlingen af personoplysninger og bødestørrelsen.

For at nå til enighed om en bindende afgørelse i EDPB iværksatte det irske datatilsyn den såkaldte tvistbilæggelsesprocedure. Sagen blev herefter forelagt EDPB, hvor bl.a. det danske datatilsyn har været med til at udforme den bindende afgørelse.

Første bindende afgørelse om børn

Dette er den første bindende afgørelse fra EDPB, der vedrører behandling af personoplysninger om mindreårige. Afgørelsen viser ifølge det danske Datatilsynet, at virksomheder, der behandler personoplysninger om mindreårige, skal være ekstra opmærksomme, idet børn fortjener en helt særlig beskyttelse ifølge GDPR.