Irlandzki organ ochrony danych osobowych (DPC) nałożył na Metę 91 mln euro kary za naruszenie przepisów RODO.
Chodzi o hasła do kont na Facebooku i Instagramie. W marcu 2019 r. właściciel tych serwisów społecznościowych poinformował, że w ramach rutynowego przeglądu bezpieczeństwa odkryto, iż „niektóre hasła użytkowników” były przechowywane w formie zwykłego tekstu. „Zwróciło to naszą uwagę, ponieważ nasze systemy logowania są zaprojektowane tak, aby maskować hasła” – pisał na firmowym blogu Pedro Canahuati, wiceprezes Facebooka ds. inżynierii, bezpieczeństwa i prywatności (od 2021 r. spółka nosi nazwę Meta).
Zapewniał, że usterki naprawiono i że „hasła te nigdy nie były widoczne dla nikogo poza Facebookiem i do tej pory nie znaleźliśmy żadnych dowodów na to, że ktoś wewnętrznie ich nadużywał lub niewłaściwie uzyskiwał do nich dostęp”. Problem dotyczył setek milionów użytkowników Facebooka Lite, dziesiątek milionów innych użytkowników Facebooka oraz milionów użytkowników Instagrama.
W kwietniu 2019 r. irlandzki organ ochrony danych osobowych – w tym kraju znajduje się europejska siedziba Mety – wszczął dochodzenie, badając m.in., czy spółka wdrożyła środki w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzaniem haseł. Efektem tego postępowania jest decyzja, o której wydaniu DPC poinformował w piątek. Wcześniej, w czerwcu br., projekt decyzji przesłano pozostałym organom nadzorczym w UE/EOG, które nie zgłosiły do niego sprzeciwu.
Irlandzki organ podkreśla, że jego decyzja w sprawie Mety dotyczy „zasad integralności i poufności RODO”, które wymagają, aby administratorzy wdrożyli odpowiednie środki bezpieczeństwa podczas przetwarzania danych osobowych, biorąc pod uwagę czynniki takie jak ryzyko dla użytkowników usług i charakter przetwarzania danych.
Jak ustalił DPC w toku postępowania, doszło do czterech naruszeń RODO. Facebook nie zgłosił orga nowi nadzorczemu bez zbędnej zwłoki naruszenia danych (art. 33 ust. 1 RODO), nie udokumentował odpowiednio naruszenia (art. 33 ust. 5), nie zastosował należytych środków technicznych lub organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa haseł, w tym stałej poufności (art. 5 ust. 1 lit. f oraz art. 32 ust. 1). ©℗