Saatlerinizi sıfırlayın: Meta, Avrupa’da bir başka gizlilik cezasıyla daha karşılaştı. Cuma günü, İrlanda Veri Koruma Komisyonu (DPC) duyuruldu Facebook’un ana şirketi tarafından 2019’da yapılan bir güvenlik ihlaline ilişkin çok yıllı bir soruşturma tamamlandıktan sonra kınama ve 91 milyon Euro para cezası (mevcut döviz kurlarıyla yaklaşık 101,5 milyon dolar) verildi.
DPC, söz konusu olayla ilgili olarak Nisan 2019’da bloğun Genel Veri Koruma Yönetmeliği (GDPR) kapsamında, Meta’nın veya o zamanlar şirketin hâlâ çağrıldığı şekliyle Facebook’un “yüz milyonlarca” kullanıcının şifrelerini bildirdiğini bildirdikten sonra yasal bir soruşturma başlattı. sunucularında düz metin olarak saklanmıştı.
Güvenlik olayı Avrupa Birliği’nde yasal bir sorundur çünkü GDPR, kişisel verilerin uygun şekilde korunmasını gerektirir.
Araştırmanın ardından DPC, şifrelerin şifrelemeyle korunmaması nedeniyle Meta’nın bloğun yasal standardını karşılayamadığı sonucuna vardı. Üçüncü şahısların, insanların sosyal medya hesaplarında saklanan hassas bilgilerine potansiyel olarak erişebilmesi nedeniyle bu durum bir risk oluşturdu.
Meta’nın GDPR uyumluluğunun gözetimine öncülük eden düzenleyici, ayrıca Meta’nın ihlali gerekli zaman dilimi içinde bildirmeyerek kuralları çiğnediğini tespit etti (yönetmelik genellikle ihlal raporlamasının, ihlalin farkına varılmasından en geç 72 saat sonra gerçekleşmesi gerektiğini şart koşuyor) ). Meta ayrıca DPC’ye göre ihlali düzgün bir şekilde belgeleyemedi.
Komiser yardımcısı Graham Doyle yaptığı açıklamada şunları yazdı: “Kişilerin bu tür verilere erişmesinden kaynaklanan kötüye kullanım riskleri göz önüne alındığında, kullanıcı şifrelerinin düz metin olarak saklanmaması gerektiği yaygın olarak kabul edilmektedir. Bu durumda ele alınan şifrelerin, kullanıcıların sosyal medya hesaplarına erişimini sağlayacağı için özellikle hassas olduğu unutulmamalıdır.”
En son GDPR yaptırımına yanıt alan Meta sözcüsü Matthew Pollard, şirketin şifre yönetimi süreçlerinde bir “hata” olan durumla ilgili “acil eylem” yaptığını iddia ederek bulguyu önemsiz göstermeye çalıştığı bir bildiriyi e-postayla gönderdi.
“2019’daki güvenlik incelemesinin bir parçası olarak, FB’nin bir alt kümesinin [Facebook] Kullanıcıların şifreleri geçici olarak dahili veri sistemlerimizde okunabilir bir formatta kaydedildi. Bu hatayı düzeltmek için derhal harekete geçtik ve bu şifrelerin kötüye kullanıldığına veya uygunsuz şekilde erişildiğine dair hiçbir kanıt yok” diye yazdı Meta. “Bu konuyu proaktif olarak baş düzenleyicimiz olan İrlanda Veri Koruma Komisyonu’na bildirdik ve bu soruşturma boyunca onlarla yapıcı bir şekilde etkileşimde bulunduk.”
Meta, teknoloji devlerine verilen en büyük GDPR cezalarının çoğunu zaten toplamıştı, bu nedenle son yaptırım, gizlilik uyumuyla ilgili sorunların boyutunun altını çiziyor.
Ceza, DPC’nin Mart 2022’de 2018’deki güvenlik ihlali nedeniyle Meta’ya verdiği 17 milyon Euro’luk para cezasından çok daha ağır. İrlandalı düzenleyici o zamandan bu yana üst düzey yönetimde değişiklik yaptı. Ancak iki olay da farklıdır: Meta’nın daha önceki güvenlik açıkları, 2019’da şifrelerin güvenliğinin sağlanamaması sonucunda şifrelerinin açığa çıktığı söylenen yüz milyonlarca Facebook kullanıcısına kıyasla 30 milyona kadar Facebook kullanıcısını etkilemiştir.
GDPR, veri koruma yetkililerine, ceza miktarının ihlalin niteliği, ciddiyeti ve süresi gibi faktörlere göre hesaplandığı durumlarda ihlaller için para cezası verme yetkisi verir; işlemenin kapsamı veya amacı; ve diğer hususların yanı sıra, etkilenen veri sahiplerinin sayısı ve uğranılan zararın düzeyi.
GDPR uyarınca mümkün olan en yüksek ceza, küresel yıllık cironun %4’üdür. Dolayısıyla, Meta’nın durumunda, 91 milyon avroluk bir para cezası önemli bir değişiklik gibi görünebilir; ancak bu, şirketin teorik olarak karşı karşıya kalabileceği milyarlarca doların çok küçük bir kısmı olmaya devam ediyor. 2023 yılı yıllık geliri şaşırtıcı bir şekilde 134,90 milyar dolardı.
