Мета оштрафована на 251 миллион евро в связи с утечкой данных, затронувшей миллионы людей

Ирландская Комиссия по защите данных (DPC) наложила штраф в размере 251 миллиона евро на Meta Platforms Ireland Limited (MPIL) в связи с двумя расследованиями крупного утечки данных, произошедшей в 2018 году, как сообщается в пресс-релизе DPC.

Нарушение, которое затронуло около 29 миллионов аккаунтов Facebook по всему миру, привело к утечке конфиденциальных персональных данных, включая имена, адреса электронной почты, номера телефонов и многое другое. Из числа пострадавших примерно 3 миллиона аккаунтов были зарегистрированы в Европейском Союзе и Европейской экономической зоне (ЕС/ЕЭЗ), сообщил DPC.

Произошло нарушение, когда неавторизованные третьи стороны эксплуатировали токены пользователей на платформе Facebook, получив доступ к пользовательским данным. MPIL сообщила об инциденте в сентябре 2018 года, и нарушение было быстро устранено MPIL и ее американской материнской компанией.

The Record отмечает, что представитель Meta выдал заявление, подчеркивающее, что штраф связан с инцидентом, который произошел шесть лет назад.

«Мы немедленно приняли меры для устранения проблемы, как только она была обнаружена, и мы самостоятельно проинформировали затронутых людей, а также Ирландскую комиссию по защите данных», — говорится в заявлении, как сообщает The Record. «У нас есть широкий спектр ведущих в отрасли мер для защиты людей на наших платформах.»

В своих окончательных решениях DPC указала на множество нарушений Общего регламента по защите данных (GDPR), что привело к значительным штрафам. В ходе проверок комиссией были выявлены два ключевых пункта невыполнения требований.

Первое решение было сосредоточено на том, что Meta не включила всю необходимую информацию в уведомление о нарушении. Конкретно компания не предоставила достаточно подробностей о нарушении. Кроме того, Meta была отчитана за недостаток документации, подтверждающей факты нарушения. В результате, DPC наложил штрафы в размере €8 миллионов и €3 миллионов соответственно.

Второе решение касалось того, что Meta не смогла соблюсти принципы защиты данных при проектировании своей системы, поскольку было установлено, что она недостаточно интегрировала меры по защите данных в свои системы обработки.

Более того, компанию Meta наказали за то, что она не гарантировала обработку только необходимых персональных данных. Штрафы за эти нарушения составили в общей сложности 130 миллионов евро и 110 миллионов евро, сообщило DPC.

Грэм Дойл, заместитель комиссара DPC, подчеркнул серьезность этого нарушения, освещая тему недостаточных мер по защите данных, которые могут подвергнуть людей значительным рискам.

«Профили в Facebook могут содержать, и часто содержат, информацию о таких вопросах, как религиозные или политические убеждения, сексуальная жизнь или ориентация и подобные вещи, которые пользователь может захотеть раскрыть только в определенных обстоятельствах,» — сказала Дойл в пресс-релизе.

«Позволяя несанкционированному раскрытию информации профиля, уязвимости, стоящие за этим нарушением, создали серьезный риск злоупотребления этими видами данных,» — добавила Дойл.

Расследование DPC проводилось в соответствии со стандартным процессом GDPR, проект решения был представлен на рецензирование в сентябре 2024 года. Комиссия не получила возражений по отношению к своим выводам и поблагодарила другие надзорные органы ЕС/ЕЭП за их сотрудничество.

Это принудительное действие служит жестким напоминанием о важности надежных мер защиты данных для компаний, работающих в рамках ЕС.

Штраф, объявленный во вторник, стал последним финансовым наказанием, которое Meta получила за нарушение европейских законов о защите данных. В сентябре DPC наложил штраф на Meta в размере 101,5 миллиона долларов за несоблюдение надлежащей защиты данных пользователей.