Instagram får GDPR-smæk på 3 mia. kroner for sjusk med børns privacy

Instagram har fået en GDPR-bøde på 405 millioner euro – eller omkring tre milliarder danske kroner – af det irske datatilsyn efter en mangeårig praksis på det sociale medie, som er gået ud over børns databeskyttelse.

Det skriver Euractiv.

Årsagen til den høje bøde er, at børn mellem 13 og 17 år har kunne oprette såkaldte forretnings-profiler på Instagram og tilgå et analyseværktøj. Den type profil kræver dog i visse tilfælde, at børnenes telefonnumre og mailadresser offentliggøres, uden de er klar over det.

Derudover indstiller platformen automatisk mindreåriges profiler til at være offentlige, når de oprettes, så indholdet kan ses af alle på det sociale medie. Instagram oplyser dog til Euractiv, at man har ændret indstillingen, så børns profiler nu automatisk er private.

Det er ikke første gang, det irske datatilsyn langer ud efter en tjeneste, der er ejet af Meta (tidligere kaldt Facebook). Sidste september gav man en bøde på 225 millioner euro – eller omkring 1,6 milliarder danske kroner – til Whatsapp, som også er ejet af den amerikanske tech-gigant.

Dengang havde Irland dog først foreslået en bøde på 50 millioner euro, men efter de andre europæiske tilsynsmyndigheder var kommet med deres input, voksede bødestørrelsen betydeligt.

Det er et krav i GDPR, at andre datatilsyn skal have indflydelse på en afgørelse, hvis borgeres i deres land har været påvirket af den ulovlige praksis. Derfor har Instagram-sagen også været forbi andre tilsynsmyndigheder, men det er endnu uvist, om bødestørrelsen har ændret sig siden Irlands første udkast – detaljer om sagen bliver nemlig først offentliggjort i næste uge, oplyser Graham Doyle, vicekommissær i det irske datatilsyn, til Euractiv.

Sagen har resulteret i den andenstørste GDPR-bøde hidtil. En anden amerikansk tech-gigant, Amazon, slog rekorden sidste sommer, da man fik en bøde på 746 millioner euro – eller omkring 5,6 milliarder danske kroner – af datatilsynet i Luxembourg.