Irlandia nakłada na Meta karę w wysokości 251 mln euro za naruszenia RODO w 2018 r

Meta Platforms, spółka matka Facebooka, została ukarana grzywną w wysokości 251 mln euro (264 mln dolarów) przez irlandzką Komisję Ochrony Danych (DPC) za naruszenie danych w 2018 r., w wyniku którego ujawniono wrażliwe informacje użytkowników.

Naruszenie, które wykorzystywało lukę w funkcji „Wyświetl jako” Facebooka, dotknęło 29 milionów kont na całym świecie, w tym 3 miliony w Unii Europejskiej. Kara pokazuje rosnące znaczenie przepisów o ochronie danych w ramach Rozporządzenia Ogólnego UE Rozporządzenie o ochronie danych (RODO).

Co wydarzyło się w wyniku naruszenia w 2018 r.

Naruszenie miało swoje źródło w funkcji Facebooka „Wyświetl jako”, narzędziu zaprojektowanym aby umożliwić użytkownikom podgląd tego, jak ich profile wyglądały dla innych. Atakujący połączyli tę funkcję z narzędziem do przesyłania plików wideo, nieumyślnie tworząc tokeny użytkownika — cyfrowe klucze zapewniające pełny dostęp do konta użytkownika.

Te tokeny włączone nieupoważniony dostęp do danych osobowych, w tym nazwisk, numerów telefonów, adresów e-mail i danych wrażliwych, takich jak przekonania religijne i powiązania polityczne.

Wyrażając zgodę na film narzędzie do przesyłania plików umożliwiające generowanie tokenów użytkownika z pełnymi uprawnieniami, system Facebooka nieumyślnie utworzył lukę kaskadową. Takie tokeny, mające służyć jako bezpieczne mechanizmy uwierzytelniania, stały się dla atakujących bramą umożliwiającą dostęp do milionów profili.

W dniach 14–28 września 2018 r. osoby atakujące wykorzystały tę lukę, uzyskując dostęp do milionów kont użytkowników. Zespół ds. bezpieczeństwa Facebooka odkrył problem po zauważeniu nietypowej aktywności związanej z przesyłaniem filmów. Firma natychmiast wyłączyła dotknięte funkcje, powiadomiła organy regulacyjne i skontaktowała się z użytkownikami, których konta zostały naruszone.

Ta awaria techniczna odzwierciedla szerszą krytykę podejścia Meta do projektowania systemów. Organy regulacyjne konsekwentnie wzywają firmy, aby od samego początku traktowały prywatność i bezpieczeństwo jako priorytet, zamiast reagować na problemy po wystąpieniu naruszeń.

Powiązane: LinkedIn będący własnością Microsoft ukarany grzywną w wysokości 310 mln euro za naruszenia prywatności w UE

Ustalenia DPC i kary

Po dokładnym dochodzeniu DPC stwierdziło, że Meta naruszyła kilka artykułów RODO. Największe kary nałożono za niezastosowanie odpowiednich środków ochrony danych na etapie projektowania systemu i ustawień domyślnych:

Artykuł 25( 1): Kara w wysokości 130 milionów euro za brak zintegrowania wystarczających zabezpieczeń z architekturą systemu Facebooka. Artykuł 25 ust. 2: kara w wysokości 110 milionów euro za niewystarczające środki zapewniające domyślnie minimalne przetwarzanie danych. Artykuł 33 ust. 3 i art. 33 ust. 5: dodatkowe 11 mln euro za dostarczanie niekompletnych powiadomień o naruszeniu i nieodpowiednich dokumentacja działań naprawczych.

W oświadczeniu zastępca komisarza Graham Doyle wyjaśnił: „To działanie w zakresie egzekwowania prawa uwypukliło, w jaki sposób niezastosowanie wymogów dotyczących ochrony danych w całym cyklu projektowania i rozwoju może narazić osoby fizyczne na bardzo poważne ryzyko i szkody, w tym ryzyko dla praw podstawowych i wolności jednostki.

Profile na Facebooku mogą i często zawierają informacje na tematy takie jak przekonania religijne lub polityczne, życie seksualne lub orientacja seksualna oraz podobne kwestie, które użytkownik może chcieć ujawnić tylko w określonych okolicznościach. Umożliwiając nieupoważnione ujawnienie informacji profilowych, luki w zabezpieczeniach tego naruszenia spowodowały poważne ryzyko niewłaściwego wykorzystania tego typu danych.”

Powiązane: Austriacka grupa NOYB oskarża Microsoft o naruszenia RODO w edukacji

Meta ogłosiła zamiar odwołania się od decyzji Rzecznik firmy stwierdził: „Podjęliśmy natychmiastowe działania, aby rozwiązać problem, gdy tylko został on zidentyfikowany, i aktywnie poinformowaliśmy zarówno użytkowników, których to dotyczyło, jak i Irlandczyków. Ochrona danych Komisji.”

Chociaż Meta podkreśla środki, jakie podjęła w odpowiedzi na naruszenie, organy regulacyjne argumentują, że działania te nie zwalniają firmy z systemowych błędów w jej praktykach w zakresie ochrony danych.

Historia firmy Meta dotycząca uchybień w zakresie ochrony danych i praktyk antykonkurencyjnych

Grzywna w wysokości 251 milionów euro stanowi część szerszego schematu działań regulacyjnych skierowanych przeciwko Meta. Jeden z najsłynniejszych skandali związanych z prywatnością firmy, sprawa Cambridge Analytica, dotyczył nieuprawnionego gromadzenia danych od 87 milionów użytkowników Facebooka.

Dane wykorzystano do wywarcia wpływu na wybory, co doprowadziło do ugody w wysokości 725 milionów dolarów w USA. pozew zbiorowy. Konsekwencje Cambridge Analytica trwale zmieniły społeczne postrzeganie zaangażowania Facebooka w ochronę prywatności użytkowników.

Późniejsze kary wynikające z RODO jeszcze bardziej ilustrują problemy Meta w przestrzeganiu przepisów. Należą do nich kara w wysokości 390 mln euro za niewłaściwe korzystanie z kont dzieci na Instagramie oraz rekordowa grzywna w wysokości 1,2 mld euro w 2023 r. za niewłaściwe przesyłanie danych między UE a Stanami Zjednoczonymi. Łącznie te przypadki uwypuklają powtarzające się słabości podejścia Meta do prywatności i bezpieczeństwa.

Skandal
/FineYearAmountDetailsImpactAntykonkurencyjna integracja z Facebook Marketplace2024800 milionów euro Decyzja firmy Meta o połączeniu usługi ogłoszeń drobnych z platformą mediów społecznościowych stworzyła nieuczciwe przewagę rynkową, ograniczając konkurencję w sektorze rynku cyfrowego. 12 listopada 2024 r. Meta wprowadziła nowy format reklam w całej Europa miała na celu spełnienie wymogów zgodności UE. Użytkownicy mają teraz możliwość wyświetlania mniej spersonalizowanych reklam, które korzystają wyłącznie z danych sesyjnych. Skandal Cambridge Analytica z 2018 r. – 725 mln dolarów. Dane od 87 milionów użytkowników Facebooka pozyskane i wykorzystane bez zgody. Erozja zaufania użytkowników, wzmożona kontrola praktyk w zakresie ochrony danych, zmiany w zasadach platformy. RODO. naruszenie (reklamy spersonalizowane) 2023 390 milionów euro (414 milionów dolarów) Meta ma zakaz wymagania od użytkowników akceptowania reklam spersonalizowanych jako warunku świadczenia usług. Ustanawia precedens dla wykorzystanie danych do celów reklamowych, potencjalny wpływ na model przychodów Meta. Naruszenia RODO na Instagramie w 2023 r. 390 mln euro (414 mln dolarów) Konta dzieci są automatycznie ustawiane na publiczne, nastolatki posiadające konta firmowe mogą upubliczniać dane kontaktowe. Podkreślono potrzebę większej ochrony danych dzieci w mediach społecznościowych media.Naruszenie RODO przez WhatsApp2023267 milionów dolarówBrak przejrzystości w przetwarzaniu i wykorzystaniu danych.Podkreślono znaczenie jasnej komunikacji z użytkownikami na temat danych praktyki.Dochodzenie w sprawie przejęcia firmy Giphy2020–202150,5 mln GBPGrzywna za nieprzestrzeganie CMA podczas dochodzenia.Wykazano wzmożoną kontrolę przejęć Big Tech i ich potencjalnego wpływu na konkurencję.Naruszenie danych w 2018 r. 251 mln EUR (263 mln USD)Naruszenie danych dotyczące 29 mln kont na Facebooku.Zniszczona reputacja Meta, wzmożona kontrola jej praktyk bezpieczeństwa.Australijskie naruszenie prywatności case2023Meta o wartości 50 milionów dolarów opublikowała oszukańcze reklamy przedstawiające osoby publiczne bez ich zgody. Podkreśliła odpowiedzialność firm mediów społecznościowych za zapobieganie treściom wprowadzającym w błąd.

RODO, uchwalone w 2018 r., stało się światowym punktem odniesienia dla prawodawstwa dotyczącego prywatności, wpływając na przepisy w jurysdykcjach takich jak Kalifornia. Zgodnie z RODO firmom za nieprzestrzeganie przepisów mogą zostać nałożone kary w wysokości do 4% ich globalnych przychodów. W przypadku Meta, na którą dotychczas nałożono karę w wysokości prawie 3 miliardów euro w ramach egzekwowania RODO, rozporządzenie stworzyło poważne wyzwania finansowe i związane z reputacją.

Poza UE problemy regulacyjne Meta rozciągają się na inne regiony. W Australii firma zapłaciła 50 milionów dolarów za wyświetlanie oszukańczych reklam przedstawiających osoby publiczne. W Wielkiej Brytanii groziła jej grzywna w wysokości 50,5 miliona funtów za naruszenie przepisów podczas przejęcia Giphy. Przypadki te odzwierciedlają rosnącą globalną potrzebę pociągnięcia Big Tech do odpowiedzialności za naruszenia prywatności i konkurencji.

Powiązane: Google nie uchyliło 2,4 miliarda euro unijnej kary antymonopolowej

Konsekwencje dla szerszej branży technologicznej

Powtarzające się kary nałożone na Metę stanowią przestrogę dla branży technologicznej. W miarę jak organy regulacyjne na całym świecie przyjmują bardziej rygorystyczne przepisy dotyczące ochrony danych, firmy znajdują się pod coraz większą presją, aby priorytetowo traktować prywatność użytkowników. Mechanizmy egzekwowania RODO prawdopodobnie zainspirują podobne ramy na całym świecie, zmuszając firmy technologiczne do przyjęcia proaktywnych środków zapewniających zgodność.

Jednak powtarzające się uchybienia Meta sugerują głębsze problemy z zarządzaniem, którymi należy się zająć. Krytycy twierdzą, że koncentracja firmy na wzroście i monetyzacji często odbywa się kosztem bezpieczeństwa użytkowników – równowagi, której organy regulacyjne i konsumenci coraz bardziej nie chcą zaakceptować.

Chociaż Meta poczyniła wysiłki w celu ulepszenia swojej infrastruktury bezpieczeństwa, jej historia kar finansowych i skandali rodzi pytania o skuteczność tych środków.