Meta dostala od írskych regulačných orgánov pokutu 90 miliónov eur za narušenie bezpečnosti hesiel
Írska komisia pre ochranu údajov (DPC) oznámila, že po štvorročnom vyšetrovaní zaobchádzania s citlivými údajmi používateľov zo strany Facebooku bola jeho materskej spoločnosti Meta v Írsku uložená pokuta vo výške 90 miliónov eur a formálne pokarhanie.
Komisia vo svojom oznámení z 27. septembra uviedla, že spoločnosť Meta nezaviedla vhodné bezpečnostné opatrenia pre heslá používateľov, čo viedlo k neúmyselnému uloženiu týchto citlivých údajov v otvorenom texte – namiesto kryptografickej ochrany – v interných systémoch spoločnosti.
„Všeobecne sa uznáva, že používateľské heslá by sa nemali uchovávať v otvorenom texte vzhľadom na riziká zneužitia, ktoré vyplývajú z prístupu osôb k týmto údajom,“ uviedol vo vyhlásení Graham Doyle, zástupca komisára DPC. „Treba mať na pamäti, že heslá, ktoré sú predmetom posudzovania v tomto prípade, sú obzvlášť citlivé, keďže by umožňovali prístup k účtom používateľov na sociálnych sieťach.“
Vyšetrovanie sa začalo v apríli 2019. Spoločnosť Meta vtedy oznámila, že heslá patriace stovkám miliónov používateľov vrátane hesiel na sociálnych sieťach Facebook, Facebook Lite a Instagram boli uložené bez kryptografickej ochrany alebo šifrovania v interných systémoch spoločnosti na ukladanie údajov.
„Aby bolo jasné, tieto heslá neboli nikdy viditeľné pre nikoho mimo Facebooku a doteraz sme nenašli žiadne dôkazy o tom, že by ich niekto interne zneužil alebo k nim neoprávnene pristupoval,“ uviedol v marci 2019 vo vyhlásení Pedro Canahuati, viceprezident spoločnosti Meta pre inžinierstvo, bezpečnosť a ochranu osobných údajov. Canahuati uviedol, že v reakcii na toto zistenie spoločnosť Meta vykonala niekoľko zmien s cieľom zlepšiť svoje bezpečnostné postupy.
Hoci spoločnosť Meta tvrdila, že neexistujú dôkazy o zneužití nesprávne uložených hesiel, vyšetrovanie DPC zistilo, že spoločnosť v súvislosti s týmto incidentom porušila niekoľko kľúčových ustanovení všeobecného nariadenia Európskej únie o ochrane údajov (GDPR).
V konečnom rozhodnutí DPC – ktoré 26. septembra prijali komisári pre ochranu údajov Des Hogan a Dale Sunderland – sa uvádzajú štyri oblasti, v ktorých boli postupy spoločnosti Meta v rozpore s rôznymi ustanoveniami GDPR.
Spoločnosť Meta napríklad včas neinformovala úrad DPC o porušení ochrany osobných údajov, ktoré sa týkalo uchovávania hesiel v otvorenom texte, a ani tento incident primerane nezdokumentovala. Spoločnosť Meta tiež nezaviedla vhodné technické a organizačné opatrenia na ochranu hesiel používateľov pred neoprávneným prístupom a nezaistila úroveň bezpečnosti primeranú rizikám spojeným s ukladaním hesiel v otvorenom texte.
Írske regulačné orgány uviedli, že všetky podrobnosti svojho rozhodnutia zverejnia v najbližších týždňoch. Nie je jasné, či sa spoločnosť Meta, ktorá neodpovedala na žiadosť Epoch Times o komentár k rozhodnutiu DPC udeliť pokarhanie a pokutu, plánuje odvolať. Spoločnosť však predtým uviedla, že porušenie bezpečnosti hesiel berie „vážne“ a v reakcii naň posilnila svoje bezpečnostné postupy.
Pokuta vo výške 90 miliónov eur od DPC je poslednou zo série sankcií, ktoré írske regulačné orgány uložili spoločnosti Meta. V máji 2023 DPC uložil spoločnosti Meta rekordnú pokutu vo výške 1,2 miliardy eur za nezákonný prenos údajov používateľov z EÚ do Spojených štátov. Nasledovala dvojica pokút v celkovej výške 370 miliónov eur za porušenie GDPR v súvislosti so spoločnosťami Facebook a Instagram.
Nariadenie GDPR zavedené v roku 2018 poskytuje občanom EÚ rozsiahle práva na ich údaje a ukladá spoločnostiam prísne povinnosti na zabezpečenie ich ochrany. Nariadenie sa považuje za jeden z najsilnejších rámcov ochrany údajov na svete, ktorý regulačným orgánom poskytuje významné právomoci v oblasti presadzovania práva vrátane možnosti ukladať vysoké pokuty.
V preskúmaní vplyvu nariadenia GDPR dva roky po jeho zavedení, ktoré vykonalo Centrum regulačných štúdií na Univerzite Georgea Washingtona v roku 2020, sa zistilo, že nariadenie nielenže posilnilo práva jednotlivcov, ale malo aj nezamýšľaný dôsledok v podobe zvýhodnenia veľkých technologických spoločností, pretože menšie spoločnosti neboli schopné znášať náklady spojené s mnohými požiadavkami nariadenia.
Pôvodný článok
