Irlandzki organ ochrony danych osobowych (DPC) nałożył na Metę 251 mln euro kary za niewłaściwe zabezpieczenia, które umożliwiły nieuprawniony dostęp do milionów kont na Facebooku. To efekt dwóch decyzji stwierdzających naruszenia przepisów RODO.

Sprawa dotyczy funkcji przesyłania filmów, jaką Facebook wprowadził w lipcu 2017 r. Stworzyła ona lukę w zabezpieczeniach, przez którą można było zdobyć tokeny (zakodowane identyfikatory) zapewniające dostęp do profili i danych innych użytkowników platformy. W ten sposób nieupoważnione osoby w okresie od 14 do 28 września 2018 r. uzyskały możliwość zalogowania się jako właściciel do ok. 29 mln kont na Facebooku na całym świecie. Około 3 mln należało do użytkowników w Unii Europejskiej i Europejskim Obszarze Gospodarczym.

Personel ds. bezpieczeństwa Facebooka znalazł tę lukę, zaalarmowany przez nietypowy wzrost aktywności związanej z przesyłaniem filmów. O naruszeniu danych osobowych właściciel platformy poinformował DPC (w Irlandii mieści się europejska siedziba Mety). Wkrótce potem problematyczna funkcjonalność została usunięta.

DPC wszczął jednak dochodzenie.

– Profile na Facebooku mogą zawierać, i często zawierają, informacje o takich kwestiach, jak przekonania religijne lub polityczne, życie seksualne lub orientacja seksualna i podobne, które użytkownik może chcieć ujawnić tylko w określonych okolicznościach – podkreśla zastępca komisarza DPC Graham Doyle. – Ze względu na nieautoryzowane ujawnienie informacji z profilu luki w zabezpieczeniach stojące za tym naruszeniem spowodowały poważne ryzyko niewłaściwego wykorzystania tego typu danych – stwierdza.

Kategorie danych osobowych, których dotyczyło naruszenie, to: pełne imię i nazwisko użytkownika; adres e-mail; numer telefonu; lokalizacja; miejsce pracy; data urodzenia; religia; płeć; posty na osiach czasu; grupy, do których należał. Naruszenie obejmowało też dane osobowe dzieci.

Jak ustalił irlandzki organ ochrony danych, Meta nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO). DPC wymierzył za to 130 mln euro kary. Spółka nie zapewniła też, aby domyślnie były przetwarzane wyłącznie dane niezbędne do konkretnych celów – za co dostała 110 mln euro kary (art. 25 ust. 2 RODO).

Ponadto DPC stwierdził, że administrator nie uwzględnił w zgłoszeniu naruszenia wszystkich wymaganych informacji (art. 33 ust. 3) i nie dokumentował faktów dotyczących każdego naruszenia oraz podjętych kroków (art. 33 ust. 5). Tu kary wyniosły odpowiednio 8 mln i 3 mln euro. ©℗