Komisja Ochrony Danych (Data Protection Commission; DPC) nałożyła na Meta Platforms Ireland Limited (MPIL) karę w wysokości 91 milionów euro za naruszenie przepisów RODO.
Pracownicy właściciela Facebooka i Instagrama mogli zobaczyć Wasze hasła
Unijne organy regularnie nakładają na właściciela Facebooka i Instagrama (oraz Messengera i WhatsAppa) kolejne kary za różne przewinienia. Tym razem zdecydowała się na to Komisja Ochrony Danych, która zajmuje się m.in. nadzorowaniem, czy sektor publiczny i prywatny dba o prywatność danych osobowych obywateli Unii Europejskiej.
W tym przypadku okazało się, że Meta Platforms Ireland Limited tego nie zrobiła w należyty sposób. W marcu 2019 roku amerykański gigant poinformował Komisję Ochrony Danych, że (według deklaracji nieumyślnie) zapisywał w swoich wewnętrznych systemach niektóre hasła użytkowników mediów społecznościowych w formie „zwykłego tekstu” (tj. bez ochrony kryptograficznej lub szyfrowania).
To ogromne przewinienie, które stanowiło znaczące naruszenie danych użytkowników serwisów Mety. Oznacza to, że teoretycznie pracownicy amerykańskiego giganta mogli zobaczyć hasła właścicieli kont, ponieważ gromadzono je w niezaszyfrowanej formie. Meta twierdziła jednak, że hasła nie zostały udostępnione podmiotom trzecim.
Teoretycznie nie doszło zatem do wycieku, lecz wciąż to niewiarygodne, że tak wielka firma, w dodatku z branży technologicznej, która powinna być na bieżąco ze standardami przechowywania danych i zapewnić zaawansowane techniki ich ochrony, pozwoliła na takie „niedopatrzenie”.
Meta musi zapłacić 91 milionów kary za nieprawidłowe przechowywanie haseł
Choć Meta w marcu 2019 roku poinformowała publicznie o niezachowaniu należytej staranności przy przechowywaniu haseł i wysłaniu wiadomości do użytkowników, których dotyczyło to „niedopatrzenie” (proceder ten podobno trwał od… 2012 roku), Komisja Ochrony Danych zdecydowała się nałożyć na amerykańskiego giganta karę w wysokości 91 milionów euro (blisko 39 miliony złotych). Oprócz kary Amerykanie dostali „reprymendę”.
Komisja argumentuje karę faktem, że Meta naruszyła 4 artykuły Ogólnego rozporządzenia o ochronie danych (RODO). Amerykanie nie poinformowali bowiem DPC o zdarzeniu w wymaganym terminie, nie udokumentowali naruszeń danych osobowych dotyczących przechowywania haseł użytkowników w postaci zwykłego tekstu i nie zastosowali odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia odpowiedniego bezpieczeństwa haseł użytkowników przed nieautoryzowanym przetwarzaniem.
Ponadto Komisja zarzuciła Mecie, że nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym możliwości zagwarantowania ciągłej poufności haseł użytkowników.
