Irska: 91 milijonov EUR za Meto

Irska: 91 milijonov EUR za Meto
30. 09. 2024 objavil/a Info Hiša
32. člen GDPR
33. člen GDPR
5. člen GDPR
58. člen GDPR
83. člen GDPR
denarna kazen
geslo
globa
kršitev varnosti
Meta
neustrezni tehnični ukrepi
opomin

Irski nadzorni organ je družbi Meta Ireland naložil kazen zaradi neustreznih ukrepov zavarovanja osebnih podatkov. Upravljavec je namreč shranil gesla svojih uporabnikov, ki niso bila kriptirana, pri tem pa tudi ni sledil določil Splošne uredbe glede obravnave kršitve varnosti podatkov.

Odločitev je bila objavljena 27.9.2024

Irski nadzorni organ (DPC) je danes objavil svojo končno odločitev po preiskavi družbe Meta Platforms Ireland Limited (MPIL). Preiskava je bila uvedena aprila 2019, potem ko je MPIL obvestil DPC, da je v svojih notranjih sistemih nehote shranil določena gesla uporabnikov svojih družabnih omrežij v obliki navadnega besedila (tj. brez kriptografske zaščite ali šifriranja).

V okviru preiskave se je DPC osredotočil na zagotavljanje skladnost z GDPR, predvsem na področju ukrepov za zavarovanje osebnih podatkov in izpolnjevanju zahtev glede informiranja in dokumentiranja kršitve varnosti. Osredotočil se je torej na načeli celovitosti in zaupnosti.
DPC je junija 2024 predložil osnutek odločitve drugim nadzornim organom v EU/EGP, kot zahteva 60. člen GDPR. Tokrat nihče od njih osnutku sklepa ni nasprotoval.

V odločbi DPC so zapisane naslednje ugotovitve kršitve GDPR:

  • člen 33(1) GDPR, ker MPIL ni obvestil DPC o kršitvi varnosti osebnih podatkov v zvezi s shranjevanjem uporabniških gesel v obliki odprtega besedila;

  • člen 33(5) GDPR, ker MPIL ni dokumentiral kršitev varnosti osebnih podatkov v zvezi s shranjevanjem uporabniških gesel v obliki odprtega besedila;

  • člen 5(1)(f) GDPR, ker MPIL ni uporabil ustreznih tehničnih ali organizacijskih ukrepov za zagotovitev ustrezne varnosti uporabniških gesel pred nepooblaščeno obdelavo; in

  • Člen 32(1) GDPR, ker MPIL ni izvajal ustreznih tehničnih in organizacijskih ukrepov za zagotovitev ravni varnosti, ki je sorazmerna tveganju, vključno z možnostjo zagotavljanja stalne zaupnosti uporabniških gesel.

Odločba vsebuje naslednja popravljalna pooblastila:

  • Opomin v skladu s členom 58(2)(b) GDPR; in

  • Upravne globe v skupnem znesku 91 milijonov EUR v skladu s členoma 58(2)(i) in 83 GDPR.

Namestnik komisarja pri DPC, Graham Doyle, je odločitev komentiral: »Splošno sprejeto je, da uporabniška gesla ne bi smela biti shranjena v obliki navadnega besedila, glede na tveganje zlorab s strani oseb, ki dostopajo do takih podatkov. Upoštevati je treba, da so gesla, ki so predmet obravnave v tem primeru, še posebej občutljiva, saj bi omogočala dostop do računov uporabnikov na družbenih omrežjih.«

DPC bo celotno odločitev in dodatne povezane informacije še objavil.

Vir: DPC

Naslovna slika: RawPixel