Dane osobowe to towar bardzo cenny, pożądany tak samo przez reklamodawców, jak i cyberprzestępców. Nie może zatem dziwić, że ich ochrona to – zwłaszcza w przypadku mediów społecznościowych – priorytet. Jak się jednak okazało, największa platforma świata podchodziła do przechowywania haseł użytkowników w sposób bardzo nonszalancki. I dlatego zapłaci wysoką karę.

Jak nie-dbała o hasła Meta?

Meta jest firmą, która już kilka razy karana była za naruszanie obowiązujących na terenie Unii Europejskiej przepisów RODO. Obecna kara została nałożona po pięcioletnim dochodzeniu, które zaczęło się w roku 2019 roku po wykryciu szokującego faktu – hasła użytkowników przechowywane były w postaci zwykłego pliku tekstowego bez żadnych zabezpieczeń – to znaczy bez ochrony kryptograficznej lub szyfrowania.

Meta została ukarana grzywną w wysokości 91 mln euro (prawie 106 mln dolarów) przez irlandzkiego komisarza ds. ochrony danych. Stwierdzono przy tym, że hasła nie były dostępne dla osób zewnętrznych. Ów plik tekstowy znajdował się w wewnętrznych systemach firmy. W grzywnie znajduje się również kara na naruszenie wymogów RODO dotyczących dokumentowania wszystkich naruszeń danych osobowych, sugerując, że nawet po powiadomieniu Meta mogła nie przechowywać odpowiednich zapisów incydentu, jak wymaga tego prawo. Komisarz stwierdził również, że Meta nie wdrożyła odpowiednich środków technicznych lub organizacyjnych w celu ochrony haseł użytkowników przed nieautoryzowanym przetwarzaniem.

Rzecznik Meta, Matthew Pollard, wysłał oświadczenie do serwisu TechCrunch, w którym twierdził, że firma podjęła “natychmiastowe działania” w związku z “błędem w procesach zarządzania hasłami”. Podkreślił również, że firma współpracowała “konstruktywnie” z Irish Data Protection Commission przez cały czas trwania dochodzenia.

Meta otrzymała nie tylko najwyższą grzywnę za naruszenie RODO od czasu jego wejścia w życie, ale także większość z najwyższych kar w ogóle, jakie przyznała na tym obszarze UE. W 2023 roku firma została ukarana grzywną w wysokości 426 mln USD za brak ważnej podstawy prawnej do przetwarzania danych użytkowników w celu kierowania reklam na Instagramie i Facebooku. Ponadto we wrześniu 2021 r. firma została ukarana grzywną w wysokości 443 mln USD za uchybienia w przetwarzaniu danych nieletnich na Instagramie.