Meta Platforms, perusahaan induk Facebook, telah didenda €251 juta ($264 juta) oleh Komisi Perlindungan Data (DPC) Irlandia atas pelanggaran data tahun 2018 yang mengungkap informasi sensitif pengguna.
Pelanggaran tersebut, yang mengeksploitasi kelemahan pada fitur “Lihat Sebagai”Facebook, memengaruhi 29 juta akun di seluruh dunia, termasuk 3 juta akun di Uni Eropa. Hukuman ini menunjukkan semakin pentingnya peraturan perlindungan data di bawah Peraturan Umum UE. Peraturan Perlindungan Data (GDPR).
Apa yang Terjadi dalam Pelanggaran 2018
Pelanggaran ini berasal dari fitur “Lihat Sebagai”Facebook, sebuah alat yang dirancang untuk memungkinkan pratinjau pengguna bagaimana profil mereka terlihat oleh orang lain. Penyerang menggabungkan fitur ini dengan alat pengunggah video, sehingga secara tidak sengaja membuat token pengguna—kunci digital yang memberikan akses penuh ke akun pengguna.
Token ini diaktifkan akses tidak sah ke informasi pribadi, termasuk nama, nomor telepon, alamat email, dan data sensitif seperti keyakinan agama dan afiliasi politik.
Dengan mengizinkan alat pengunggah video menghasilkan token pengguna yang memiliki izin penuh, Facebook sistem secara tidak sengaja menciptakan kerentanan berjenjang. Token tersebut, yang dimaksudkan sebagai mekanisme autentikasi yang aman, menjadi pintu gerbang bagi penyerang untuk mengakses jutaan profil.
Antara tanggal 14 dan 28 September 2018, penyerang mengeksploitasi kerentanan, mengakses jutaan akun pengguna. Tim keamanan Facebook menemukan masalah ini setelah melihat aktivitas pengunggahan video yang tidak biasa. Perusahaan segera menonaktifkan fitur yang terpengaruh, memberi tahu regulator, dan menghubungi pengguna yang akunnya disusupi.
Kegagalan teknis ini mencerminkan kritik yang lebih luas terhadap pendekatan Meta terhadap desain sistem. Regulator secara konsisten menyerukan perusahaan untuk memprioritaskan privasi dan keamanan sejak awal, daripada menangani masalah secara reaktif setelah pelanggaran terjadi.
Terkait: LinkedIn milik Microsoft Didenda €310 juta karena Pelanggaran Privasi UE
Temuan dan Hukuman DPC
Setelah penyelidikan menyeluruh, DPC menemukan Meta melanggar beberapa pasal GDPR. Denda terbesar dikeluarkan karena gagal menerapkan langkah-langkah perlindungan data yang memadai selama desain sistem dan pengaturan default:
Pasal 25( 1): Denda €130 juta karena gagal mengintegrasikan perlindungan yang memadai ke dalam arsitektur sistem Facebook. Pasal 25(2): Denda €110 juta karena tindakan yang tidak memadai untuk memastikan pemrosesan data minimal secara default. Pasal 33(3) dan 33(5): Tambahan €11 juta karena memberikan pemberitahuan pelanggaran yang tidak lengkap dan tidak memadai dokumentasi tindakan perbaikan.
Dalam sebuah pernyataan, Wakil Komisaris Graham Doyle menjelaskan, “Tindakan penegakan hukum ini menyoroti bagaimana kegagalan dalam menerapkan persyaratan perlindungan data sepanjang siklus desain dan pengembangan dapat membuat individu terkena risiko dan kerugian yang sangat serius, termasuk risiko terhadap hak-hak dasar dan kebebasan individu.
Profil Facebook dapat, dan sering kali, berisi informasi tentang hal-hal seperti keyakinan agama atau politik, kehidupan atau orientasi seksual, dan hal-hal serupa yang mungkin ingin diungkapkan oleh pengguna hanya dalam keadaan tertentu. Dengan mengizinkan pemaparan informasi profil yang tidak sah, kerentanan di balik pelanggaran ini menyebabkan risiko besar penyalahgunaan jenis data ini.”
Terkait: Grup NOYB Austria Menuduh Microsoft Melanggar GDPR di bidang Pendidikan
Meta telah mengumumkan niatnya untuk mengajukan banding atas keputusan tersebut. Juru bicara perusahaan menyatakan, “Kami mengambil tindakan segera untuk memperbaiki masalah segera setelah masalah tersebut teridentifikasi, dan kami secara proaktif memberi tahu pengguna yang terkena dampak dan masyarakat Irlandia. Perlindungan Data Komisi.”
Meskipun Meta menekankan tindakan yang diambil sebagai respons terhadap pelanggaran tersebut, regulator berpendapat bahwa tindakan ini tidak membebaskan perusahaan dari kelemahan sistemik dalam praktik perlindungan datanya.
Sejarah Meta tentang Kegagalan Privasi Data dan Praktik Anti Persaingan
Denda €251 juta adalah bagian dari pola tindakan regulasi yang lebih luas terhadap Meta. Salah satu skandal privasi perusahaan yang paling terkenal, kasus Cambridge Analytica, melibatkan pengambilan data tanpa izin dari 87 juta pengguna Facebook.
Data tersebut digunakan untuk mempengaruhi pemilu, sehingga menghasilkan penyelesaian $725 juta di AS. gugatan class action. Dampak dari Cambridge Analytica secara permanen mengubah persepsi publik tentang komitmen Facebook terhadap privasi pengguna.
Denda GDPR selanjutnya menggambarkan kesulitan kepatuhan Meta. Ini termasuk denda €390 juta karena kesalahan penanganan akun Instagram anak-anak dan rekor denda €1,2 miliar pada tahun 2023 karena transfer data yang tidak tepat antara UE dan Amerika Serikat. Secara kolektif, kasus-kasus ini menyoroti kelemahan yang berulang dalam pendekatan Meta terhadap privasi dan keamanan.
GDPR, yang disahkan pada tahun 2018, telah menjadi tolok ukur global untuk undang-undang privasi, yang memengaruhi undang-undang di yurisdiksi seperti Kalifornia. Berdasarkan GDPR, perusahaan dapat dikenakan denda hingga 4% dari pendapatan globalnya karena ketidakpatuhan. Bagi Meta, yang sejauh ini telah didenda hampir €3 miliar berdasarkan penegakan GDPR, peraturan tersebut telah menciptakan tantangan finansial dan reputasi yang signifikan. Di luar UE, masalah peraturan Meta juga meluas ke wilayah lain. Di Australia, perusahaan membayar $50 juta untuk menjalankan iklan penipuan yang menampilkan tokoh masyarakat. Di Inggris, perusahaan tersebut menghadapi denda £50,5 juta karena melanggar aturan selama akuisisi Giphy. Kasus-kasus ini mencerminkan meningkatnya momentum global untuk meminta pertanggungjawaban Big Tech atas pelanggaran privasi dan persaingan usaha. Terkait: Google Gagal Membatalkan Denda Antimonopoli Uni Eropa sebesar €2,4 Miliar Denda Meta yang berulang-ulang menjadi peringatan bagi industri teknologi. Ketika regulator di seluruh dunia mengadopsi undang-undang perlindungan data yang lebih ketat, perusahaan berada di bawah tekanan yang semakin besar untuk memprioritaskan privasi pengguna. Mekanisme penegakan GDPR kemungkinan besar akan menginspirasi kerangka serupa secara global, sehingga mendorong perusahaan teknologi untuk mengadopsi langkah-langkah kepatuhan yang proaktif. Namun, kegagalan Meta yang berulang menunjukkan adanya masalah tata kelola yang lebih mendalam yang harus diatasi. Kritikus berpendapat bahwa fokus perusahaan pada pertumbuhan dan monetisasi sering kali mengorbankan keamanan pengguna—suatu keseimbangan yang semakin enggan diterima oleh regulator dan konsumen. Meskipun Meta telah melakukan upaya untuk meningkatkan infrastruktur keamanannya, sejarah denda dan skandal menimbulkan pertanyaan tentang efektivitas tindakan ini.
/FineYearAmountDetailsImpactAncompetitive Integration of Facebook Marketplace2024€800 jutaKeputusan Meta untuk menggabungkan layanan iklan barisnya dengan platform media sosial menciptakan ketidakadilan keunggulan pasar, sehingga membatasi persaingan di sektor pasar digital. Pada 12 November 2024, Meta meluncurkan format iklan baru di seluruh Eropa yang bertujuan untuk memenuhi Persyaratan kepatuhan UE. Pengguna kini memiliki opsi untuk melihat iklan yang kurang dipersonalisasi dan hanya menggunakan data berbasis sesiSkandal Cambridge Analytica2018$725 jutaData dari 87 juta pengguna Facebook diperoleh dan dieksploitasi tanpa izin.Terkikisnya kepercayaan pengguna, peningkatan pengawasan terhadap praktik privasi data, perubahan kebijakan platform.GDPR pelanggaran (iklan yang dipersonalisasi)2023€390 juta ($414 juta)Meta dilarang mengharuskan pengguna menerima iklan yang dipersonalisasi sebagai syarat layanan.Tetapkan preseden untuk penggunaan data untuk iklan, potensi dampak pada model pendapatan Meta.Pelanggaran GDPR Instagram2023€390 juta ($414 juta)Akun anak-anak secara otomatis disetel ke publik, remaja dengan akun bisnis dapat membuat informasi kontak menjadi publik.Menyoroti perlunya perlindungan yang lebih besar terhadap data anak-anak di media sosial.WhatsApp Pelanggaran GDPR2023$267 jutaKurangnya transparansi dalam pemrosesan dan penggunaan data.Menekankan pentingnya komunikasi yang jelas dengan pengguna tentang praktik data.Pengambilalihan Giphy investigasi2020-2021£50,5 jutaDenda karena ketidakpatuhan terhadap CMA selama investigasi.Menunjukkan peningkatan pengawasan terhadap akuisisi Big Tech dan potensi dampaknya terhadap persaingan.Pelanggaran data tahun 20182018€251 juta ($263 juta)Pelanggaran data memengaruhi 29 juta akun Facebook.Merusak reputasi Meta , peningkatan pengawasan terhadap praktik keamanannya.Kasus pelanggaran privasi Australia2023$50 jutaMeta diterbitkan iklan penipuan yang menampilkan tokoh masyarakat tanpa persetujuan mereka. Menyoroti tanggung jawab perusahaan media sosial untuk mencegah konten yang menyesatkan.
Implikasi terhadap Industri Teknologi yang Lebih Luas
