Ett företag bröt mot flera regler i GDPR vid behandling av barns personuppgifter och fick därför betala flera hundra miljoner euro i sanktionsavgift. Det är ett stort internationellt företag som bedriver en mobilapplikation med många barn som användare världen över. Det var den irländska dataskyddsmyndigheten som utredde behandlingen av personuppgifter som gällde barn mellan 13 – 17 år. Orsaken till varför det var den irländska dataskyddsmyndigheten som utredde företaget är eftersom företaget har sitt huvudkontor i EU där.
Barn är extra skyddsvärda
Det är viktigt för företag som behandlar personuppgifter som tillhör barn att veta att reglerna är striktare, eftersom barn är extra skyddsvärda. Detta gäller enligt GDPR och många andra lagar. Samma företag som fick betala en sanktionsavgift i detta fall, fick också betala en sanktionsavgift tidigare i Nederländerna. Detta efter att bland annat ha informerat de registrerade om behandlingen på engelska istället för holländska. Det är inte i enlighet med GDPR när de registrerade är barn, eftersom det inte är det nationella språket i Nederländerna.
Företaget bröt mot flera regler i GDPR vid behandling av barns personuppgifter
- Offentliga konton: Standardinställningen var att barnens användarkonton var offentliga, så att alla kunde se profilen. Enligt dataskyddsmyndigheten är det inte förenligt med reglerna om inbyggt dataskydd och dataskydd som standard enligt artikel 25 i GDPR.
- Otydligt informerat: Företaget informerade inte de registrerade om behandlingen på ett tillräckligt tydligt sätt när de registrerade var barn.
- Familjeinställningar: Plattformens så kallade familjeinställningar innebar vissa risker för barn.
Europeiska dataskyddsstyrelsens beslut gentemot företaget
Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende organ som bland annat ger allmänna råd, såsom riktlinjer och rekommendationer. Dessutom kan de fatta beslut som är bindande. Den Europeiska dataskyddsstyrelsen gav ett beslut gentemot företaget gällande designlösningar som företaget använt. Det var efter detta bindande beslut som den Irländska dataskyddsmyndigheten gav sitt beslut.
Europeiska dataskyddsstyrelsen bedömde att popup-fönstren, som kom upp när ett barn skulle registrera sitt konto, var formade med en design som gjorde att barnen blev ledda till att välja vissa sekretessinställningar. På uppmanan av den Europeiska dataskyddsstyrelsen, beordrade den irländska dataskyddsmyndigheten att företaget ska upphöra med designlösningarna som inte är i enlighet med GDPR.
Sanktionsavgiften som företaget fick tilldelad uppgick till 345 miljoner euro.
EU-domstolen tog ställning till skadeståndsansvaret för företag vid personuppgiftsincidenter
När en personuppgiftsincident kan leda till att det finns en fruktan hos en registrerad för att en framtida immateriell skada kan uppstå, kan den registrerade ha rätt till skadestånd. EU-domstolen tog ställning till denna fråga efter att den Bulgariska Högsta förvaltningsdomstolen begärt ett förhandsavgörande. Fallet handlade om att miljontals personuppgifter blivit läckta efter en cyberattack mot den Bulgariska skattemyndigheten. De som blivit drabbade stämde därför myndigheten. De menade att personuppgifterna som blivit läckta eventuellt kan bli missbrukade i framtiden.
EU-domstolen menade att det är möjligt för de drabbade att kräva ett skadestånd. Däremot ska en domstol ta ställning till flera aspekter. Till exempel om företaget, myndigheten eller organisationen ifråga har vidtagit tillräckliga skyddsåtgärder. Bara för att det inträffar en personuppgiftsincident, innebär det inte att företaget inte gjort tillräckligt för att skydda personuppgifterna.