Sprawa dotyczy funkcji przesyłania filmów, jaką Facebook wprowadził w lipcu 2017 r. Stworzyła ona lukę w zabezpieczeniach, przez którą można było zdobyć tokeny (zakodowane identyfikatory) zapewniające dostęp do profili i danych innych użytkowników platformy. W ten sposób nieupoważnione osoby w okresie od 14 do 28 września 2018 r. uzyskały możliwość zalogowania się jako właściciel do ok. 29 mln kont na Facebooku na całym świecie. Około 3 mln należało do użytkowników w Unii Europejskiej i Europejskim Obszarze Gospodarczym.

Personel ds. bezpieczeństwa Facebooka znalazł tę lukę, zaalarmowany przez nietypowy wzrost aktywności związanej z przesyłaniem filmów. O naruszeniu danych osobowych właściciel platformy poinformował DPC (w Irlandii mieści się europejska siedziba Mety). Wkrótce potem problematyczna funkcjonalność została usunięta.

DPC wszczął jednak dochodzenie.

– Profile na Facebooku mogą zawierać, i często zawierają, informacje o takich kwestiach, jak przekonania religijne lub polityczne, życie seksualne lub orientacja seksualna i podobne, które użytkownik może chcieć ujawnić tylko w określonych okolicznościach – podkreśla zastępca komisarza DPC Graham Doyle. – Ze względu na nieautoryzowane ujawnienie informacji z profilu luki w zabezpieczeniach stojące za tym naruszeniem spowodowały poważne ryzyko niewłaściwego wykorzystania tego typu danych – stwierdza.

Kategorie danych osobowych, których dotyczyło naruszenie, to: pełne imię i nazwisko użytkownika; adres e-mail; numer telefonu; lokalizacja; miejsce pracy; data urodzenia; religia; płeć; posty na osiach czasu; grupy, do których należał. Naruszenie obejmowało też dane osobowe dzieci.

Jak ustalił irlandzki organ ochrony danych, Meta nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO). DPC wymierzył za to 130 mln euro kary. Spółka nie zapewniła też, aby domyślnie były przetwarzane wyłącznie dane niezbędne do konkretnych celów – za co dostała 110 mln euro kary (art. 25 ust. 2 RODO).

Ponadto DPC stwierdził, że administrator nie uwzględnił w zgłoszeniu naruszenia wszystkich wymaganych informacji (art. 33 ust. 3) i nie dokumentował faktów dotyczących każdego naruszenia oraz podjętych kroków (art. 33 ust. 5). Tu kary wyniosły odpowiednio 8 mln i 3 mln euro. ©℗