En virksomhed overtrådte flere GDPR-regler, da den behandlede børns personoplysninger, og blev derfor idømt bøder på flere hundrede millioner euro. Det er en stor international virksomhed, der driver en mobilapplikation med mange børn som brugere i hele verden. Det var den irske databeskyttelsesmyndighed, der undersøgte behandlingen af personoplysninger om børn mellem 13 og 17 år. Årsagen til, at virksomheden blev undersøgt af den irske databeskyttelsesmyndighed, er, at virksomheden har hovedsæde i EU.
Børn fortjener ekstra beskyttelse
Det er vigtigt for virksomheder, der behandler børns personoplysninger, at vide, at reglerne er strengere, da børn fortjener ekstra beskyttelse. Dette er tilfældet i henhold til GDPR og mange andre love. De samme virksomheder, der skulle betale en bøde i denne sag, skulle også betale en bøde tidligere i Nederlandene. Dette sker bl.a. efter at have informeret de registrerede om behandlingen på engelsk i stedet for nederlandsk. Det er ikke i overensstemmelse med GDPR, når de registrerede er børn, da det ikke er det nationale sprog i Nederlandene.
Virksomheden overtrådte flere GDPR-regler ved behandling af børns personoplysninger
- Offentlige regnskaber: Som standard var børnenes brugerkonti offentlige, så alle kunne se profilen. Ifølge ANPD overholder det ikke reglerne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i henhold til artikel 25 i GDPR.
- Ikke klart oplyst: Virksomheden informerede ikke de registrerede om behandlingen på en tilstrækkelig klar måde, når de registrerede var børn.
- Familiemiljøer: Platformens såkaldte familiemiljøer udgjorde en vis risiko for børn.
Det Europæiske Databeskyttelsesråds afgørelser over for virksomheden
Det Europæiske Databeskyttelsesråd (EDPB) er et uafhængigt organ, der bl.a. yder generel rådgivning såsom retningslinjer og anbefalinger. Desuden kan de træffe afgørelser, der er bindende. Databeskyttelsesrådet traf en afgørelse over for virksomheden vedrørende designløsninger, der anvendes af virksomheden. Det var efter denne bindende afgørelse, at den irske databeskyttelsesmyndighed traf sin afgørelse.
Databeskyttelsesrådet vurderede, at pop op-vinduerne, som dukkede op, da et barn skulle registrere sin konto, var formet af et design, der fik børnene til at vælge visse privatlivsindstillinger. Efter anmodning fra Det Europæiske Databeskyttelsesråd pålagde den irske databeskyttelsesmyndighed virksomheden at ophøre med at udforme løsninger, der ikke er i overensstemmelse med GDPR.
Den bøde, der blev pålagt sagsøgeren, beløb sig til 345 mio. EUR.
EU-Domstolen traf afgørelse om virksomheders ansvar for brud på persondatasikkerheden
Hvis et brud på persondatasikkerheden kan medføre, at en registreret frygter fremtidig immateriel skade, kan den registrerede have ret til erstatning. Domstolen traf afgørelse om dette spørgsmål efter en anmodning om præjudiciel afgørelse fra den øverste forvaltningsdomstol i Bulgarien. Sagen vedrørte lækning af millioner af personoplysninger efter et cyberangreb på den bulgarske skatteforvaltning. De berørte parter anlagde derfor sag mod myndigheden. De mente, at lækkede personoplysninger potentielt kunne misbruges i fremtiden.
EU-Domstolen fastslog, at det er muligt for ofre at kræve erstatning. På den anden side er en domstol forpligtet til at træffe afgørelse om flere aspekter. F.eks. hvis den pågældende virksomhed, myndighed eller organisation har truffet passende beskyttelsesforanstaltninger. Den blotte forekomst af et brud på persondatasikkerheden betyder ikke, at virksomheden ikke har gjort nok for at beskytte personoplysningerne.
