Meta ukarana za wyciek z Facebooka. „Pokazuje ryzyko”

Właściciele Facebooka nie mają w ostatnich miesiącach wiele szczęścia w Europie. Na łamach CyberDefence24 opisywaliśmy w maju i czerwcu sprawę treningu AI przez giganta na danych użytkowników. Ostatecznie został on zawieszony w ostatnich dniach wiosny na terenie Unii. 

Od lipca z kolei na bieżąco informujemy o sprawie, jaką Rafał Brzoska i Omena Mensaah wytoczyli Meta w związku ze scamerskimi reklamami wykorzystującymi ich wizerunek. W środę WSA odrzucił odwołanie firmy od decyzji Prezesa UODO, zakazującej wyświetlania tego typu treści.

Błąd tokenów. Wyciekły dane 29 mln osób

Jedna z największych platform społecznościowych na świecie mierzy się także z problemami, które zaczęły się jeszcze przed pandemią koronawirusa. We wrześniu 2018 roku doszło do wykorzystania błędu dotyczącego tokenów kont poprzez funkcję „Zobacz stronę jako”.  

W efekcie ujawniono dane 3 mln Europejczyków (poza Europą dotkniętych było z kolei 26 mln osób). Jak wyjaśniła Irlandzka Komisja Ochrony Danych, wyciek dotyczył informacji - począwszy od imienia i nazwiska, po numer telefonu, datę urodzenia czy lokalizację. Ujawnione zostały również dane osobowe dzieci.

Spora kara dla Meta. „Poważne ryzyko”

Projekt decyzji był gotowy we wrześniu, a od tego czasu był konsultowany z innymi organami ochrony danych związanymi ze sprawą. DPC ustaliła, że Meta naruszyła zapisy art. 33 ust. 3 i 5 (brak wszystkich wymaganych informacji w powiadomieniu o naruszeniu oraz brak właściwego udokumentowania naruszeń) oraz art. 25 ust. 1 i 2 (nieprzestrzeganie zasad ochrony danych oraz niewywiązanie się z obowiązku zapewniania o przetwarzaniu tylko niezbędnych danych osobowych) rozporządzenia RODO.

We wszystkich czterech przypadkach właściciel Facebooka otrzymał upomnienie, jednak Irlandczycy nie ograniczyli się wyłącznie do tego. W przypadku art. 33 RODO nałożono w sumie 11 mln euro kary, a za naruszenie art. 25 gigant musi zapłacić aż 240 mln euro. Łączna kwota wynosi 251 mln euro (przeliczeniu ok. 1,069 mld zł).

Jak wynika ze słów zastępcy prezesa DPC Grahama Doyle’a, postępowanie pokazuje, jakie ryzyko dla osób fizycznych niesie ze sobą brak zabezpieczeń.

„Pozwalając na nieautoryzowane ujawnienie informacji profilowych, słabe punkty tego naruszenia spowodowały poważne ryzyko niewłaściwego wykorzystania tego typu danych” – dodał wiceszef komisji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].