Irska: 251 milijonov EUR za Meto
Nadzorni organ je Meto kaznoval zaradi neustreznih varnostnih ukrepov, ki so povzročili kršitev varnosti podatkov 29 milijonov uporabnikov Facebooka.
Novica je bila objavljena 17.12.2024
Irski nadzorni organ(DPC) je danes objavil svoje končne odločitve dveh preiskav družbe Meta Platforms Ireland Limited (»MPIL«). Preiskave je DPC sprožil po uradni dolžnosti kmalu po kršitvi varnosti osebnih podatkov, o kateri jih je septembra 2018 obvestila Meta.
Ta kršitev varnosti podatkov je vplivala na približno 29 milijonov računov Facebook po vsem svetu, od tega približno 3 milijone v EU/EGP. Kategorije prizadetih osebnih podatkov so vključevale: polno ime uporabnika, elektronski naslov, telefonsko številko, lokacijo, kraj dela, datum rojstva, religijo, spol, objave na časovnicah, skupine, katerih član je bil uporabnik, in osebne podatke otrok. Do kršitve je prišlo zaradi izkoriščanja uporabniških žetonov na platformi Facebook s strani nepooblaščenih tretjih oseb. Kršitev sta MPIL in njena matična družba v ZDA odpravili kmalu po odkritju.
DPC je septembra 2024 predložil osnutek odločitve drugim nadzornim organom v okviru mehanizma sodelovanja, kot zahteva 60. člen GDPR, na osnutek pa ni bilo ugovorov.
V končnih odločitvah DPC so zapisane naslednje ugotovitve:
Prva odločitev
3. odstavek 33. člena GDPR – Meta v svojem obvestilu o kršitvi varnosti podatkov ni vključila vseh zahtevanih informacij, ki bi jih morala. DPC je Meti zaradi napak v zvezi s to določbo izrekel opomin in naložil plačilo upravne globe v višini 8 milijonov evrov.
5. odstavek 33. člena GDPR – Podrobnosti v zvezi z vsako kršitvijo in sprejeti ukrepi za odpravo niso bili dokumentirani na način, ki nadzornemu organu omogoča preverjanje skladnosti. DPC je Meti zaradi napak v zvezi s to določbo izrekel opomin in jim naložil plačilo upravne globe v višini 3 milijonov evrov.
Druga odločitev
Kršitev člena 25(1) GDPR, ker pri načrtovanju sistemov obdelav niso bila upoštevana načela varstva podatkov. DPC je izrekel opomnil in naložil plačilo upravne globe v višini 130 milijonov evrov.
Kršitev člena 25(2) GDPR, ker Meta ni zagotovila, da se privzeto obdelujejo samo osebni podatki, ki so potrebni za specifične namene. DPC je Meto opomnil ter ji naložil plačilo upravne globe v višini 110 milijonov evrov.
Odločitev je komentiral namestnik komisarja DPC Graham Doyle:
»Ta izvršilni ukrep poudarja, kako lahko opustitev vgradnje zahtev glede varstva podatkov v celotnem ciklu načrtovanja in razvoja posameznike izpostavi zelo resnim tveganjem in škodi, vključno s tveganjem za temeljne pravice in svoboščine posameznikov. Facebook profili lahko vsebujejo in pogosto tudi vsebujejo informacije o verskih ali političnih prepričanjih, spolnem življenju ali usmerjenosti in podobne informacije, ki jih uporabnik želi razkriti le v posebnih okoliščinah. Z omogočanjem nepooblaščenega razkrivanja informacij so ranljivosti v ozadju te kršitve povzročile resno tveganje zlorabe teh vrst podatkov.«
DPC bo objavil celotno odločitev in dodatne povezane informacije objavil naknadno.
Vir: DPC
Naslovna slika: RawPixel
