„Meta“ skirta 251 mln. eurų bauda už 2018 m. duomenų saugumo pažeidimą

Baudą skyrė Airijos duomenų apsaugos komisija 

„Facebook“ savininkei „Meta“ skirta bauda. Pažeidimai paaiškėjo po 2018 m. atlikto tyrimo dėl duomenų saugumo pažeidimo, kurio metu buvo atskleista milijonas paskyrų^[1]. Europos Sąjungos Duomenų apsaugos komisija (DPC) skyrė „Meta“ 251 mln. eurų baudą už 2018 m. įvykusį „Facebook“ saugumo pažeidimą, kuris paveikė per 29 mln. vartotojų.

Kalbama, esą kibernetiniai įsilaužėliai pasinaudojo „Facebook“ funkcijos „Peržiūrėti kaip“ (angl. „View As“) pažeidžiamumu, leidusiu jiems gauti prieigą prie asmeninių duomenų, tokių kaip vardai, kontaktinė informacija, gyvenamosios vietos, darbo vietos, gimimo datos, religija, lytis ir vaikų duomenys^[2]. Tada ataka persikėlė nuo vieno vartotojo „Facebook“ draugo prie kito. Turėdami priėjimus, užpuolikai galėjo valdyti norimas paskyras. Iš viso apie 3 mln. paveiktų paskyrų priklausė ES vartotojams. 

Pažeidimai paaiškėjo po 2018 m. tyrimo

Baudą skyrė Airijos duomenų apsaugos komisija.

„Šis sprendimas yra susijęs su 2018 m. vykusiu incidentu. Ėmėmės neatidėliotinų veiksmų problemai ištaisyti“, – sakoma „Meta“ pareiškime. Bendrovė teigė informavusi žmones, kurių duomenys buvo atskleisti, taip pat iš karto susisiekė su atitinkamomis institucijomis.

Įdomiausia, jog „Facebook“ iš pradžių teigė, kad buvo atskleista 50 mln. naudotojų paskyrų. Tačiau galiausiai paaiškėjo, jog tikrasis skaičius – maždaug 29 milijonai, įskaitant 3 milijonus Europoje. Situacija šiuo metu domisi FTB ir JAV bei Europos reguliavimo institucijos.

„Meta“ yra gavusi rekordinę 1,2 mlrd. eurų baudą

Skelbiama, esą „Meta“ stengiasi kuo greičiau ištaisyti šį pažeidimą. Bendrovė teigia turinti stiprias priemones vartotojų duomenų apsaugai, be to, ji planuoja nutarimą apskųsti. 

Nuo 2018 m. įsigaliojus Bendram duomenų apsaugos reglamentui (BDAR), „Meta“ yra gavusi 3 mlrd. eurų siekiančių baudų. Žinoma, jog „Meta Platforms Ireland“ kreipėsi į teismą dėl praėjusių metų gegužę priimto DPC sprendimo skirti rekordinę 1,2 milijardo eurų baudą už Europos privatumo taisyklių pažeidimą. Bauda buvo paskirta po ilgai trukusio tyrimo dėl „Facebook“ europiečių asmens duomenų perdavimo JAV. Bendrovė šį nutarimą taip pat apskundė.

Graham Doyle – DPC pavaduotojas, laikėsi savo nuomonės:

„Situacija apnuogina spragas. Viena iš jų – nesugebėjimas įdiegti duomenų apsaugos ir atitikti reikalavimų. Tai savo ruožtu kelia rimtą pavojų bei žalą asmenims, įskaitant jų teises ir laisves“, – sakė jis. Pastarasis mano, kad neteisėtai atskleista profilio informacija gali būti pasitelkiama piktnaudžiavimui duomenimis ateityje.

Tikslinama, jog DPC iš pradžių vengė skirti piniginę baudą. Ji paskirta po ginčo Europos duomenų apsaugos valdyboje, kurią sudaro maždaug 50 nacionalinių ir regioninių duomenų reguliavimo institucijų. Bendru nutarimu galiausiai buvo patvirtintos tarpvalstybinės sankcijos už duomenų pažeidimus^[3]. DPC prieš tris mėnesius bendrovei taipogi skyrė papeikimą ir 91 mln. eurų baudą už netinkamą vartotojų slaptažodžių saugojimą^[4]. Tąsyk „Meta Platforms Ireland“ apskundė šį sprendimą Aukščiausiajam teismui.

Bendra baudų, kurias DPC skyrė organizacijoms per pastaruosius penkerius metus, suma viršija 3,5 mlrd. Tačiau valdžios institucijos spalio pabaigoje buvo surinkusios tik 19,9 mln. eurų, kadangi daugelis sankcijų buvo apskųstos arba atidėtos.

„Meta“ yra gavusi daugybę baudų dėl duomenų apsaugos pažeidimų

Šios baudos daugiausia susijusios su Bendrojo duomenų apsaugos reglamento pažeidimais Europos Sąjungoje, taip pat su privatumo pažeidimais JAV ir kitose šalyse.

405 mln. eurų bauda 2022 m. gauta dėl pažeidimų, susijusių su „Instagram“ vaikų privatumo apsauga; 265 mln. eurų bauda 2022 m. skirta nutekinant apie 533 milijonų „Facebook“ naudotojų asmens duomenų; 225 mln. eurų bauda 2021 m. rugsėjo mėn. - dėl WhatsApp duomenų tvarkymo pažeidimų; 91 mln. eurų bauda 2024 m. - dėl netinkamo vartotojų slaptažodžių saugojimo. Taip pat sekė 17 mln. eurų ir 5 mlrd. USD siekianti bauda, – dauguma jų dėl vartotojų duomenų nutekinimo. Bendra bauda ES pagal BDAR siekia daugiau nei 3 mlrd. eurų.

„Meta“ (anksčiau – „Facebook“) susiduria su nuolatiniais iššūkiais dėl duomenų apsaugos pažeidimų. Skiriamos baudos svyruoja nuo milijonų iki milijardų eurų. Didžiausios baudos buvo skirtos už duomenų perdavimą į JAV, Cambridge Analytica skandalą ir vaikų privatumo pažeidimus „Instagram“ platformoje. Europos Sąjunga, ypač per DPC, nuosekliai baudžia „Meta“ už BDAR pažeidimus.