Facebook’un ebeveyni Meta, Avrupa veri koruma yasasını ihlal ettiği için ağır bir ceza daha aldı.
265 milyon € (~275 milyon $) para cezası ilan edildi Bugün, teknoloji devinin Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) için baş düzenleyicisi olan İrlanda Veri Koruma Komisyonu (DPC) tarafından.
DPC, alınan kararı doğruladı Cuma günü kabul edilen, tasarım ve varsayılan olarak veri korumaya odaklanan GDPR’nin 25(1) ve 25(2) Maddelerinin ihlaline ilişkin bulguları kaydeder.
DPC, ayrıca bir dizi düzeltici tedbir uyguladığını belirterek şunları yazdı: “Karar, bir kınama ve MPIL gerektiren bir emir verdi. [Meta Platforms Ireland Limited] belirli bir zaman çerçevesi içinde bir dizi belirlenmiş düzeltici eylem gerçekleştirerek işlenmesini uygun hale getirmek için.”
Ceza, 530 milyondan fazla Facebook kullanıcısının kişisel verilerinin – e-posta adresleri ve cep telefonu numaraları da dahil olmak üzere – çevrimiçi olarak ifşa edildiğine dair basında çıkan haberlerin ardından 14 Nisan 2021’de DPC tarafından açılan bir soruşturmayla ilgili.
O sırada Facebook, çevrimiçi ortamda dolaşan verilerin “eski veriler” olduğunu ve kişisel verilerin açığa çıkmasına neden olan sorunu çözdüğünü iddia ederek ihlali önemsiz göstermeye çalıştı.
Şirket, verilerin Facebook profillerinden Eylül 2019’a kadar sunduğu bir iletişim içe aktarma özelliğini kullanarak “kötü niyetli aktörler” tarafından kazındığına inandığını söyleyerek, büyük bir set yükleme yeteneğini engelleyerek veri kötüye kullanımını önlemek için ince ayar yaptı. Facebook profilleriyle eşleşenleri bulmak için telefon numaraları.
DPC, GDPR’nin uygulamaya girdiği tarih ile Facebook’un sonbahar 2019’da yaptığı değişikliklerin tarihi arasında şirketin platformlarında sunduğu çeşitli kişi arama ve içe aktarma araçlarına baktığını doğruladı.
“Soruşturmanın kapsamı, Meta Platforms Ireland Limited (‘MPIL’) tarafından 25 Mayıs 2018 ile Eylül 2019 tarihleri arasında gerçekleştirilen işlemeyle ilgili olarak Facebook Search, Facebook Messenger Contact Importer ve Instagram Contact Importer araçlarının incelenmesi ve değerlendirilmesiyle ilgilidir. ”DPC yazdı.
“Bu soruşturmadaki önemli konular, Tasarım ve Varsayılan Olarak Veri Korumaya yönelik GDPR yükümlülüğüne uygunlukla ilgili sorularla ilgiliydi” diye ekledi ve GDPR’nin 25. Maddesiyle ilgili “teknik ve organizasyonel” önlemlerin uygulanmasını incelediğini belirtti ( tasarım ve varsayılan olarak veri koruması).
“AB içindeki diğer tüm veri koruma denetleme makamlarıyla işbirliği dahil olmak üzere kapsamlı bir soruşturma süreci vardı. Bu denetleyici makamlar, DPC’nin kararıyla hemfikirdi” dedi. GDPR’yi uygulamak için gereken süreyi önemli ölçüde artırın – bu nedenle bu nihai karar nispeten hızlı bir şekilde verilmiştir).
DPC komiser yardımcısı Graham Doyle, TechCrunch’a bu kararın bir parçası olarak Meta’ya uyguladığı düzeltici önlemlerin “GDPR Madde 58(2)(d) uyarınca bir emir” olduğunu söyledi. bu Kararda belirtilen şekilde” – şirketin buna uyması için nihai karar tarihinden itibaren üç aylık bir süre almasıyla birlikte.
“Özellikle, MPIL’in ‘Herkes’ varsayılan aranabilirlik ayarını içeren kişisel verilerin devam eden işlenmesiyle meşgul olduğu ölçüde, bu emir şunları gerektirir… kişisel veriler, varsayılan olarak yalnızca işlemenin her belirli amacı için gerekli olan kişisel verilerin işlenmesini ve varsayılan olarak kişisel verilerin, kişinin müdahalesi olmaksızın sınırsız sayıda gerçek kişiye ulaşmasını sağlamayı amaçlar.” şunu vurgulayarak ekledi: “Bu sipariş, GDPR Madde 25(2) ile uyumluluğu sağlamak için yapılmıştır.”
Bu bağlamda “İlgili Özellikler” Facebook Kişi Aktarıcı; Messenger Kişi İçe Aktarıcı; Instagram Kişi İçe Aktarıcı; ve Messenger Arama; ve varyant Messenger Contact Creator özellikleri.
Bir yanıt için Meta ile iletişime geçildi. Bir sözcü temyize gidip gitmeyeceğini doğrulamadı – ancak teknoloji devi kararı “dikkatlice” “incelediğini” söyledi.
İşte Meta’nın açıklaması:
“İnsanların verilerinin gizliliğini ve güvenliğini korumak, işimizin çalışma şekli için temeldir. Bu nedenle, bu önemli konuda İrlanda Veri Koruma Komisyonu ile tam bir işbirliği yaptık. Söz konusu süre zarfında, telefon numaralarını kullanarak özelliklerimizi bu şekilde kazıma özelliğini kaldırmak da dahil olmak üzere sistemlerimizde değişiklikler yaptık. Yetkisiz veri kazıma kabul edilemez ve kurallarımıza aykırıdır ve sektördeki bu zorlukta emsallerimizle çalışmaya devam edeceğiz. Bu kararı dikkatle inceliyoruz.”
Şirket, bu ihlalden bu yana veri kazımayla mücadele etmek için bir dizi önlemi uygulamaya koyduğunu da sözlerine ekledi: Bunlar arasında hız limitleri uygulamak ve şüpheli otomatikleştirilmiş faaliyetlerle mücadele etmek için teknik araçlar kullanmak ve ayrıca kullanıcılara bilgilerinin kamuya görünürlüğünü sınırlamak için kontroller sağlamak yer alıyor. .
GDPR cezası Meta için ilk değil ve son da olmayabilir.
Bir yıldan biraz daha uzun bir süre önce, Meta’nın sahibi olduğu WhatsApp, şeffaflık ihlalleri nedeniyle 225 milyon € (~267 milyon $) para cezasına çarptırıldı. Bununla birlikte, Mart ayında şirket, bir dizi tarihsel Facebook veri ihlali nedeniyle yaklaşık 18,6 milyon dolar para cezasına çarptırıldı.
DPC’nin ayrıca Meta’nın işinin diğer yönleriyle ilgili bir dizi devam eden soruşturması var – en azından Meta’nın insanların yaklaşık 4,5 yıl öncesine dayanan verilerini işleyebildiğini iddia ettiği yasal dayanağa ilişkin büyük bir soruşturma değil.