Irlandzka organizacja Data Protection Commission (DPC) ogłosiła dziś swoją ostateczną decyzję po dochodzeniu w sprawie Meta Platforms Ireland Limited (MPIL). Dochodzenie zostało wszczęte w kwietniu 2019 r., po tym jak Meta powiadomiło DPC, iż nieumyślnie zapisało pewne hasła użytkowników mediów społecznościowych w plain-text w swoich wewnętrznych systemach (tj. bez ochrony kryptograficznej lub szyfrowania).
DPC przesłało projekt decyzji innym zainteresowanym organom nadzorczym w Unii Europejskiej w czerwcu 2024 r., zgodnie z wymogiem artykułu 60 GDPR. Pozostałe organy nie zgłosiły sprzeciwu wobec projektu.
Decyzja, którą podjęli Komisarze ds. Ochrony Danych, dr Des Hogan i Dale Sunderland, i którą Meta otrzymało oficjalnie 26 września, obejmuje upomnienie i grzywnę w wysokości 91 mln euro.
Decyzja DPC odnotowuje następujące ustalenia dotyczące naruszenia RODO:
- Artykułu 33(1) GDPR, ponieważ MPIL nie powiadomiło DPC o naruszeniu danych osobowych dotyczącym przechowywania haseł użytkowników w postaci zwykłego tekstu;
- Artykułu 33(5) GDPR, ponieważ MPIL nie udokumentowało naruszeń danych osobowych dotyczących przechowywania haseł użytkowników w postaci zwykłego tekstu;
- Artykułu 5(1)(f) GDPR, ponieważ MPIL nie zastosowało odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia wymaganego poziomu bezpieczeństwa haseł użytkowników przed nieautoryzowanym przetwarzaniem;
- Artykułu 32(1) GDPR, ponieważ MPIL nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym możliwości zapewnienia ciągłej poufności haseł użytkowników.
Zastępca Komisarza DPC Graham Doyle skomentował: „Powszechnie przyjmuje się, iż hasła użytkowników nie powinny być przechowywane w postaci jawnego tekstu, biorąc pod uwagę ryzyko nadużyć wynikających z dostępu osób do takich danych. Należy pamiętać, iż hasła będące przedmiotem rozpatrywania w tej sprawie są szczególnie wrażliwe, ponieważ umożliwiłyby dostęp do kont użytkowników w mediach społecznościowych”.
DPC opublikuje pełną decyzję i dalsze powiązane informacje we adekwatnym czasie.
Trochę zza kulis
W marcu 2019 r. Meta powiadomiła DPC, iż nieumyślnie zapisało pewne hasła użytkowników mediów społecznościowych w plain-text w swoich systemach wewnętrznych. MPIL opublikowało również informacje dotyczące tego incydentu. Hasła nie zostały udostępnione stronom zewnętrznym.
Zakres dochodzenia, które rozpoczęło się w kwietniu 2019 r., obejmował ocenę zgodności MPIL z ogólnym rozporządzeniem o ochronie danych (RODO), a w szczególności wdrożenie przez MPIL środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzaniem haseł oraz wypełnianie obowiązków dokumentowania i powiadamiania DPC o naruszeniach danych osobowych.
Decyzja DPC dotyczy zasad integralności i poufności RODO. RODO wymaga od administratorów danych wdrożenia odpowiednich środków bezpieczeństwa podczas przetwarzania danych osobowych, biorąc pod uwagę takie czynniki, jak ryzyko dla użytkowników usług i charakter przetwarzania danych. Aby zachować bezpieczeństwo, administratorzy danych powinni ocenić ryzyko związane z przetwarzaniem i wdrożyć środki w celu złagodzenia tego ryzyka. Wspomniana decyzja podkreśla potrzebę podjęcia takich środków podczas przechowywania haseł użytkowników.
RODO wymaga również od administratorów danych prawidłowego dokumentowania naruszeń danych osobowych i powiadamiania organów ochrony danych o zaistniałych naruszeniach. Naruszenie danych osobowych może, jeżeli nie zostanie odpowiednio i terminowo rozwiązane, skutkować szkodami, takimi jak utrata kontroli nad danymi osobowymi. Dlatego też, gdy administrator dowie się, iż doszło do naruszenia danych osobowych, powinien powiadomić organ nadzorczy bez zbędnej zwłoki, w sposób określony w artykule 33 GDPR.