Instagram offentliggjorde barns kontaktuppgifter – får stor sanktionsavgift

Författare:

|

Datum:

|

Författare: Kave Noori

Den 5 september 2022 rapporterade The Guardian att den irländska dataskyddsmyndigheten, Data Protection Commision (DPC) gett Instagram en sanktionsavgift på 4,3 miljarder kronor (405 miljoner euro) för att ha brutit mot GDPR. Sanktionsavgiften delades ut efter att DPC upptäckt att Instagram publicerat barns kontaktuppgifter.

Problemet var att Instagram lät användare mellan 13 och 17 år driva företagskonton på plattformen, vilket offentliggjorde deras telefonnummer och e-postadresser. DPC konstaterade också att Instagrams registreringsprocess var förinställd på att göra 13 till 17 åriga användares konton offentliga.

Orsaken till att många 13–17 åringar har velat starta företagskonton behöver inte alltid ha berott på ett ekonomiskt intresse. Med ett företagskonto får man förvisso tillgång till ett antal funktioner som kan vara användbara för att sälja produkter eller tjäna pengar på sitt innehåll. Men det är inte allt – företagskonton får också tillgång till analyser, möjligheten att schemalägga inlägg och dela länkar. Alla dessa funktioner kan vara till hjälp för att öka antalet följare på Instagram och kan göra ett konto mer framgångsrikt.

Den irländska dataskyddsmyndigheten DPC beslutade om sanktionen efter att ha avgjort en tvist med andra europeiska dataskyddsmyndigheter om sanktionen enligt artikel 65 i GDPR. Enligt GDPR-handboken Visma Draftit blir artikel 65 i GDPR aktuell när den ansvariga tillsynsmyndigheten (oftast dataskyddsmyndigheten i det land där den personuppgiftsansvariga har sitt säte reds. anm.) och andra berörda tillsynsmyndigheter inte kan nå samförstånd. Artikel 65 i GDPR kan således aktiveras när det finns en tvist mellan medlemsstaters dataskyddsmyndigheter som måste lösas av European Data Protection Board (EDPB). Det händer vanligtvis i gränsöverskridande tillsynsärenden eller när en berörd tillsynsmyndighet har gjort en relevant och motiverad invändning mot hur den ansvariga tillsynsmyndigheten vill agera.

Enligt The Guardian är detta det näst högsta sanktionsbeloppet någonsin under GDPR, efter sanktionen på 746 miljoner euro mot Amazon, och det är den tredje sanktionen mot ett META-ägt företag. En talesperson för dataskyddsmyndigheten DPC bekräftade för The Guardian att Instagram har belagts med 405 miljoner euro i sanktionsavgifter på grund av appens integritetsinställningar för barn.

Vidare sade Caroline Carruthers, ägare till ett brittiskt datakonsultföretag, till The Guardian att Instagram inte har tänkt igenom sitt integritetsansvar när de lät tonåringar skapa företagskonton och visade en ”uppenbar brist på omsorg” för användarnas sekretessinställningar.

Slutligen rapporterar The Guardian också att Meta förra året stoppade utvecklingen av en specialversion av Instagram för barn efter avslöjanden om appens inverkan på tonåringars psykiska hälsa. Instagram har sagt att man före september 2019 offentliggjorde användarnas kontaktuppgifter för företagskonton och informerade användarna om det under registreringsprocessen. För barn under 18 år sätts kontot nu automatiskt till privat när man registrerar sig på plattformen.

Enligt artikeln i The Guardian kommer DPCs beslut att bli offentligt nästa vecka.

Läs mer:

Artikel i The Guardian 5 September 2022

Blogginlägg på socialmediatoday.com från 22 mars 2018 om varför man ska göra om konton till