Ирландская комиссия по защите данных (DPC) оштрафовала американского IT-гиганта Meta на 91 миллион евро за «непреднамеренное» хранение паролей пользователей без криптографической защиты или шифрования.
Как сообщается в пресс-релизе комиссии, это расследование было начато в апреле 2019 года после того, как Meta Platforms Ireland Limited (MPIL) уведомила DPC о том, что она непреднамеренно сохранила некоторые пароли пользователей социальных сетей в «открытом тексте» на своих внутренних системах (т. е. без криптографической защиты или шифрования).
DPC представил проект решения другим заинтересованным надзорным органам в ЕС/ЕЭЗ в июне 2024 года, как того требует статья 60 GDPR. Никаких возражений против проекта решения другими органами не было высказано.
Решение, принятое комиссарами по защите данных доктором Десом Хоганом и Дейлом Сандерлендом и доведенное до сведения MPIL вчера, 26 сентября, включает выговор и штраф в размере 91 миллиона евро.
В решении DPC зафиксированы следующие факты нарушения GDPR:
➤ Статья 33(1) GDPR, поскольку MPIL не уведомила DPC об утечке персональных данных, связанной с хранением паролей пользователей в открытом виде;
➤ Статья 33(5) GDPR, поскольку MPIL не задокументировала нарушения защиты персональных данных, связанные с хранением паролей пользователей в открытом виде;
➤ Статья 5(1)(f) GDPR, поскольку MPIL не использовала надлежащие технические или организационные меры для обеспечения надлежащей защиты паролей пользователей от несанкционированной обработки; и
➤ Статья 32(1) GDPR, поскольку MPIL не внедрила надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая возможность обеспечения постоянной конфиденциальности паролей пользователей.
Заместитель комиссара DPC Грэм Дойл так прокомментировал эту историю: «Широко признано, что пароли пользователей не должны храниться в открытом виде, учитывая риски злоупотреблений, возникающие со стороны лиц, получающих доступ к таким данным. Необходимо иметь в виду, что пароли, являющиеся предметом рассмотрения в этом случае, являются особенно конфиденциальными, поскольку они позволят получить доступ к аккаунтам пользователей в социальных сетях».
NEWSROOM IN напоминает:
➤ В начале 2023 года компания Meta уже была оштрафована на €390 млн за нарушение закона ЕС о защите персональных данных на принадлежащих ей платформах Facebook и Instagram. Как сообщил департамент защиты данных Ирландии (DPS), Meta Platforms Ireland Limited нарушила свои «обязательства по прозрачности» и использовала неправильную правовую основу «для обработки персональных данных для отображения поведенческой рекламы». Регулятор считает, что компания принуждала своих пользователей согласиться с обработкой их личных данных в Instagram и Facebook.
➤ В 2018 году в ЕС вступил в силу Общий регламент о защите данных (GDPR), который ужесточил требования к компаниям, работающим с персональными данными. За нарушение GDPR компании могут быть оштрафованы на сумму до 20 млн евро или 4% от годового мирового оборота.