Irlandzka Komisja Ochrony Danych nałożyła na Meta Ireland grzywnę w wysokości 91 milionów euro
Komisja Ochrony Danych (DPC) ogłosiła 27 września 2024 r. ostateczną decyzję w następstwie postępowania prowadzonego w sprawie Meta Platforms Ireland Limited (META). Postępowanie to zostało wszczęte w kwietniu 2019 r., po tym jak META powiadomiła DPC, że nieumyślnie przechowywała niektóre hasła użytkowników mediów społecznościowych w „zwykłym tekście” w swoich wewnętrznych systemach (tj. bez ochrony kryptograficznej lub szyfrowania).
W czerwcu 2024 r. DPC przedłożyła projekt decyzji pozostałym organom nadzorczym, których sprawa dotyczy w UE/EOG, zgodnie z wymogami art. 60 RODO. Pozostałe organy nie zgłosiły zastrzeżeń do projektu decyzji. Decyzja, która została podjęta przez komisarzy ds. ochrony danych, dr Desa Hogana i Dale’a Sunderlanda, i przekazana do META obejmuje skierowanie upomnienia oraz nałożenie administracyjnej kary pieniężnej w wysokości 91 mln euro.
Decyzja DPC zawiera następujące ustalenia dotyczące naruszenia RODO:
- art. 33 ust. 1 RODO, ponieważ META nie powiadomiła DPC o naruszeniu ochrony danych osobowych dotyczącym przechowywania haseł użytkowników w postaci zwykłego tekstu;
- art. 33 ust. 5 RODO, ponieważ META nie udokumentowała naruszeń ochrony danych osobowych dotyczących przechowywania haseł użytkowników w postaci zwykłego tekstu;
- art. 5 ust. 1 lit. f) RODO, ponieważ META nie zastosowała odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia odpowiedniego zabezpieczenia haseł użytkowników przed nieuprawnionym przetwarzaniem; oraz
- art. 32 ust. 1 RODO, ponieważ META nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym możliwości zapewnienia ciągłej poufności haseł użytkowników.
Zastępca komisarza w DPC, Graham Doyle, skomentował: „Powszechnie przyjmuje się, że hasła użytkowników nie powinny być przechowywane w postaci zwykłego tekstu, biorąc pod uwagę ryzyko nadużyć, które wynikają z dostępu osób do takich danych. Należy pamiętać, że hasła będące przedmiotem rozważań w tej sprawie są szczególnie wrażliwe, ponieważ umożliwiałyby dostęp do kont użytkowników w mediach społecznościowych”.
Kontekst
W marcu 2019 r. META powiadomiła DPC, że nieumyślnie przechowywała niektóre hasła użytkowników mediów społecznościowych w „zwykłym tekście” w swoich wewnętrznych systemach (tj. bez ochrony kryptograficznej lub szyfrowania). META opublikowała również informacje dotyczące tego incydentu w marcu 2019 r. Hasła te nie zostały udostępnione podmiotom zewnętrznym.
Zakres postępowania, które rozpoczęło się w kwietniu 2019 r., obejmowało ocenę przestrzegania przez META ogólnego rozporządzenia o ochronie danych (RODO), a w szczególności tego, czy META wdrożyła środki zapewniające poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem haseł oraz czy META wypełniła swoje obowiązki w zakresie dokumentowania i powiadamiania DPC o naruszeniach ochrony danych osobowych.
Decyzja DPC odnosi się do zasad RODO dotyczących integralności i poufności. RODO wymaga od administratorów danych wdrożenia odpowiednich środków bezpieczeństwa przy przetwarzaniu danych osobowych, biorąc pod uwagę takie czynniki jak ryzyko dla użytkowników usług oraz charakter przetwarzania danych. Aby utrzymać bezpieczeństwo, administratorzy danych powinni ocenić ryzyka związane z przetwarzaniem i wdrożyć środki w celu ich złagodzenia. Ta decyzja podkreśla konieczność podejmowania takich działań podczas przechowywania haseł użytkowników.
RODO wymaga również, aby administratorzy danych odpowiednio dokumentowali naruszenia danych osobowych oraz informowali organy ochrony danych o występujących naruszeniach. Naruszenie ochrony danych osobowych, jeśli nie zostanie rozwiązane w odpowiedni i terminowy sposób, może prowadzić do szkód, takich jak utrata kontroli nad danymi osobowymi. Dlatego, gdy administrator danych dowiaduje się, że doszło do naruszenia ochrony danych osobowych, powinien niezwłocznie powiadomić organ nadzorczy w sposób określony w artykule 33 RODO.
Decyzja zawiera następujące uprawnienia naprawcze:
- upomnienie zgodnie z art. 58 ust. 2 lit. b) RODO; oraz
- administracyjną karę pieniężną w łącznej wysokości 91 mln euro zgodnie z art. 58 ust. 2 lit. i) i art. 83 RODO.
Artykuł 60 RODO reguluje procedurę współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy.
