Meta ukarana grzywną w wysokości 251 milionów euro po naruszeniu danych dotykającym milionów osób

Irlandzka Komisja Ochrony Danych (DPC) nałożyła karę w wysokości 251 milionów euro na Meta Platforms Ireland Limited (MPIL) po przeprowadzeniu dwóch śledztw dotyczących poważnego naruszenia ochrony danych, które miało miejsce w 2018 roku, jak podano w komunikacie prasowym DPC.

Wyciek, który dotknął około 29 milionów kont Facebooka na całym świecie, ujawnił wrażliwe dane osobowe, w tym imiona, adresy e-mail, numery telefonów i wiele więcej. Spośród poszkodowanych, około 3 miliony kont miało swoją bazę w Unii Europejskiej i Europejskim Obszarze Gospodarczym (UE/EOG), poinformował DPC.

Naruszenie miało miejsce, gdy nieautoryzowane strony trzecie wykorzystały tokeny użytkowników na platformie Facebooka, uzyskując dostęp do danych użytkowników. MPIL zgłosiło incydent we wrześniu 2018 roku, a naruszenie zostało szybko naprawione przez MPIL i jej amerykańską firmę macierzystą.

The Record zauważa, że rzecznik Meta wydał oświadczenie podkreślające, że grzywna wynika z incydentu, który miał miejsce sześć lat temu.

„Podjęliśmy natychmiastowe działania, aby naprawić problem, jak tylko został zidentyfikowany, a osoby dotknięte sytuacją oraz Irlandzki Urząd Ochrony Danych poinformowaliśmy proaktywnie”, – mówi oświadczenie, jak podaje The Record. „Mamy szereg wiodących w branży środków mających na celu ochronę osób korzystających z naszych platform”.

W swoich ostatecznych decyzjach, DPC wymienia wiele naruszeń Ogólnego Rozporządzenia o Ochronie Danych (GDPR), które skutkują znacznymi grzywnami. Dochodzenie Komisji zidentyfikowało dwa kluczowe obszary niezgodności.

Pierwsza decyzja skupiła się na niepowodzeniu Meta w uwzględnieniu wszystkich wymaganych informacji w swoim powiadomieniu o naruszeniu. Konkretnie, firma nie dostarczyła wystarczająco szczegółowych informacji na temat naruszenia. Dodatkowo, Meta została skarcona za nieudokumentowanie faktów związanych z naruszeniem. W rezultacie, DPC nałożył na firmę kary w wysokości 8 milionów euro i 3 milionów euro odpowiednio.

Druga decyzja dotyczyła niepowodzenia Meta w przestrzeganiu zasad ochrony danych w swoim projekcie systemu, ponieważ stwierdzono, że firma niewłaściwie zintegrowała zabezpieczenia ochrony danych do swoich systemów przetwarzania.

Ponadto, Meta została ukarana za niezabezpieczenie, aby przetwarzane były tylko niezbędne dane osobowe. Kary za te naruszenia wyniosły łącznie 130 milionów euro i 110 milionów euro – poinformował DPC.

Graham Doyle, zastępca komisarza DPC, podkreślił powagę tego naruszenia, zwracając uwagę na to, jak niewystarczające środki ochrony danych mogą narazić jednostki na poważne ryzyko.

„Profile na Facebooku mogą, i często zawierają informacje na temat takich spraw jak przekonania religijne czy polityczne, życie seksualne czy orientację, oraz podobne kwestie, które użytkownik może chcieć ujawnić tylko w określonych okolicznościach.” – powiedziała Doyle w komunikacie prasowym.

„Dopuszczając do nieautoryzowanego ujawnienia informacji z profilu, podatności stojące za tym naruszeniem spowodowały poważne ryzyko nadużyć tych typów danych” – dodała Doyle.

Śledztwo DPC przebiegało zgodnie ze standardowym procesem RODO, a projekt decyzji został przekazany do przeglądu przez rówieśników we wrześniu 2024 roku. Komisja nie otrzymała żadnych zastrzeżeń do swoich ustaleń i podziękowała innym organom nadzoru z UE/EOG za ich współpracę.

Ta akcja egzekucyjna służy jako brutalne przypomnienie o znaczeniu solidnych środków ochrony danych dla firm działających w UE.

Nałożona w wtorek kara to najnowsza finansowa sankcja, jaką Meta musiała ponieść za naruszenie europejskich przepisów o ochronie danych. We wrześniu, DPC nałożyło na Meta karę w wysokości 101,5 miliona dolarów za niewłaściwe zabezpieczenie danych hasłowych użytkowników.