Meta, şirketin Eylül 2018’de açıkladığı milyonlarca kullanıcıyı etkileyen bir Facebook güvenlik ihlali nedeniyle Avrupa Birliği’nde 251 milyon Euro (yaklaşık 263 milyon dolar) para cezasına çarptırıldı.
Salı günü İrlanda Veri Koruma Komisyonu (DPC) tarafından verilen ve bloğun Genel Veri Koruma Yönetmeliği’ni (GDPR) uygulayan ceza, rejimin beş yıl önce yürürlüğe girmesinden bu yana Meta’nın aldığı en büyük GDPR para cezası olmaktan çok uzak. tek bir güvenlik olayı için önemli bir yaptırım olmasıyla dikkat çekiyor.
İlgili ihlal, Facebook’un (şirketin o zamanlar hala bilindiği şekliyle) kullanıcının kendi Facebook sayfasını başkaları tarafından görüleceği gibi görmesine olanak tanıyan “Farklı görüntüle” özelliğini içeren bir video yükleme işlevini kullanıma sunduğu Temmuz 2017’ye kadar uzanıyor. başka bir kullanıcı.
Tasarımdaki bir hata, bu özelliği kullanan kullanıcıların, Facebook’un ‘Doğum Günün Kutlu Olsun Bestecisi’ özelliğiyle birlikte video yükleyiciyi çağırarak, diğer kullanıcının Facebook profiline tam erişim sağlayan tam izinli bir kullanıcı belirteci oluşturmasına olanak tanıdı. Daha sonra jetonu diğer hesaplardaki aynı özellik kombinasyonundan yararlanmak için kullanabilirler ve DPC’ye göre birden fazla kullanıcının profiline ve verilerine yetkisiz erişim elde edebilirler.
14 Eylül ile 28 Eylül 2018 tarihleri arasında gözlemci, yetkisiz kişilerin Facebook’taki bu güvenlik açığından yararlanmak için komut dosyaları kullandığını ve dünya genelinde yaklaşık 29 milyon Facebook hesabında (yaklaşık 3 milyonu AB merkezli) hesap sahibi olarak oturum açma olanağı elde ettiğini söyledi. /Avrupa Ekonomik Alanı, DPC’nin uygulama yetkileri kapsamına girdikleri anlamına gelir.
İhlalden etkilenen kişisel veri kategorileri arasında Facebook kullanıcılarının tam adları; e-posta adresleri; telefon numaraları; konum; iş yerleri; doğum tarihleri; din; cinsiyet; zaman çizelgelerindeki gönderiler; üyesi oldukları gruplar; ve çocukların kişisel verileri.
Etkilenen kişisel verilerin geniş kapsamının cezanın boyutunu etkilemiş olması muhtemeldir.
İki icra kararı
Salı günü İrlandalı düzenleyici, 2018 olayıyla ilgili açtığı iki soruşturma hakkında nihai kararını yayınladı: Kararlardan biri, GDPR büyük güvenlik olaylarının hızlı ve kapsamlı bir şekilde raporlanmasını gerektirdiğinden Meta’nın ihlal bildirimini kapsıyor; ikincisi ise tasarım ve varsayılan olarak veri koruma kurallarıyla ilgili .
Her iki durumda da DPC, Meta’nın bloğun GDPR’sini ihlal ettiğini tespit etti.
Yaptırımların tamamı şu şekilde özetleniyor: Meta, ilk kararıyla ilgili olarak 11 milyon Euro para cezasına çarptırıldı; DPC, Meta’nın ihlal bildiriminin “sahip olabileceği ve olması gereken” tüm bilgileri içermediğini tespit etti; Şirket, ihlale ilişkin gerçekleri ve sorunu çözmek için atılan adımları tam olarak belgelemedi.
Üstelik Meta, DPC’nin, şirketin insanların verilerini istenmeyen işlemlerden korumak için uygun önlemleri almaması nedeniyle şirketin GDPR’nin veri koruma ilkelerini tasarım gereği ihlal ettiğini doğruladığı ikinci kararla ilgili olarak 240 milyon Euro para cezasına çarptırıldı.
DPC komiseri yardımcısı Graham Doyle yaptığı açıklamada şunları söyledi: “Bu uygulama eylemi, tasarım ve geliştirme döngüsü boyunca veri koruma gerekliliklerinin yerine getirilmemesinin bireyleri, temel haklara yönelik riskler de dahil olmak üzere çok ciddi risklere ve zararlara nasıl maruz bırakabileceğini vurgulamaktadır. bireylerin özgürlükleri.
“Facebook profilleri, dini veya siyasi inançlar, cinsel yaşam veya yönelim gibi konular ve bir kullanıcının yalnızca belirli durumlarda ifşa etmek isteyebileceği benzer konular hakkında bilgiler içerebilir ve çoğu zaman da içerir. Bu ihlalin ardındaki güvenlik açıkları, profil bilgilerinin yetkisiz bir şekilde açığa çıkmasına izin vererek, bu tür verilerin kötüye kullanılması konusunda ciddi bir risk oluşturdu.”
Bu yılın başlarında görevi (eskiden tek olan) Helen Dixon’dan devralan DPC’nin iki komisyon üyesi Dr. Des Hogan ve Dale Sunderland yönetimindeki uygulamanın bir diğer dikkate değer unsuru, İrlanda’nın karar taslağına benzer yetkililer tarafından herhangi bir itirazın yapılmamasıdır.
Düzenleyici bir basın açıklamasında, “DPC, bu durumda emsal AB/AEA denetleyici otoritelerinin işbirliği ve yardımlarından dolayı minnettardır” diye yazdı.
Dixon yönetimindeki DPC’yi eleştirenler, düzenleyiciyi Meta ve diğer teknoloji devleri üzerinde GDPR’yi rutin olarak gereğinden az uygulamakla suçladı. Ve o dönemde Big Tech’e ilişkin taslak kararların çoğu emsalleri tarafından tartışılıyordu. Meta’ya karşı uygulanan bir dizi yaptırım, özellikle çok uzun anlaşmazlık davalarını gerektirdi; bazıları, sürecin sonuçlandırılması için Avrupa Veri Koruma Kurulu’nun bağlayıcı kararlarını gerektirdi.
Bu nedenle, DPC’nin Temmuz 2024’te GDPR işbirliği mekanizmasına taslak karar olarak sunulduğunu söylediği Meta’ya yönelik bu son yaptırımın zarar görmeden geçmesi dikkat çekicidir.
Cezaya yanıt için ulaşan Meta sözcüsü Emily Westcott, şirketin şunları yazdığı bir bildiriyi e-postayla gönderdi: “Bu karar 2018’deki bir olayla ilgilidir. Sorunu tespit eder etmez düzeltmek için derhal harekete geçtik ve proaktif olarak bilgilendirdik.” İrlanda Veri Koruma Komisyonu’nun yanı sıra etkilenen kişiler. İnsanları platformlarımızda korumak için çok çeşitli sektör lideri önlemlerimiz var.”
Eylül ayında DPC, 2019’daki güvenlik ihlali nedeniyle Meta’ya karşı başka bir karar yayınladı; bu durumda şirket, “yüz milyonlarca” kullanıcının şifresinin saklandığı bir olayla ilgili olarak 91 milyon Euro para cezasına çarptırıldı. sunucularında düz metin olarak.
Big Tech’e verilen en büyük 10 GDPR cezası
