Meta zapłaci 91 milionów euro kary za przechowywanie haseł pod postacią jawnego tekstu

DPC przesłało projekt decyzji innym zainteresowanym organom nadzorczym w Unii Europejskiej w czerwcu 2024 r., zgodnie z wymogiem artykułu 60 GDPR. Pozostałe organy nie zgłosiły sprzeciwu wobec projektu.

Decyzja, którą podjęli Komisarze ds. Ochrony Danych, dr Des Hogan i Dale Sunderland, i którą Meta otrzymało oficjalnie 26 września, obejmuje upomnienie i grzywnę w wysokości 91 mln euro.

Decyzja DPC odnotowuje następujące ustalenia dotyczące naruszenia RODO:

• Artykułu 33(1) GDPR, ponieważ MPIL nie powiadomiło DPC o naruszeniu danych osobowych dotyczącym przechowywania haseł użytkowników w postaci zwykłego tekstu;
• Artykułu 33(5) GDPR, ponieważ MPIL nie udokumentowało naruszeń danych osobowych dotyczących przechowywania haseł użytkowników w postaci zwykłego tekstu;
• Artykułu 5(1)(f) GDPR, ponieważ MPIL nie zastosowało odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia wymaganego poziomu bezpieczeństwa haseł użytkowników przed nieautoryzowanym przetwarzaniem;
• Artykułu 32(1) GDPR, ponieważ MPIL nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym możliwości zapewnienia ciągłej poufności haseł użytkowników.

Zastępca Komisarza DPC Graham Doyle skomentował: „Powszechnie przyjmuje się, że hasła użytkowników nie powinny być przechowywane w postaci jawnego tekstu, biorąc pod uwagę ryzyko nadużyć wynikających z dostępu osób do takich danych. Należy pamiętać, że hasła będące przedmiotem rozpatrywania w tej sprawie są szczególnie wrażliwe, ponieważ umożliwiłyby dostęp do kont użytkowników w mediach społecznościowych”.

DPC opublikuje pełną decyzję i dalsze powiązane informacje we właściwym czasie.

Trochę zza kulis

W marcu 2019 r. Meta powiadomiła DPC, że nieumyślnie zapisało pewne hasła użytkowników mediów społecznościowych w plain-text w swoich systemach wewnętrznych. MPIL opublikowało również informacje dotyczące tego incydentu. Hasła nie zostały udostępnione stronom zewnętrznym.

Zakres dochodzenia, które rozpoczęło się w kwietniu 2019 r., obejmował ocenę zgodności MPIL z ogólnym rozporządzeniem o ochronie danych (RODO), a w szczególności wdrożenie przez  MPIL środków w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzaniem haseł oraz  wypełnianie obowiązków dokumentowania i powiadamiania DPC o naruszeniach danych osobowych.

Decyzja DPC dotyczy zasad integralności i poufności RODO. RODO wymaga od administratorów danych wdrożenia odpowiednich środków bezpieczeństwa podczas przetwarzania danych osobowych, biorąc pod uwagę takie czynniki, jak ryzyko dla użytkowników usług i charakter przetwarzania danych. Aby zachować bezpieczeństwo, administratorzy danych powinni ocenić ryzyko związane z przetwarzaniem i wdrożyć środki w celu złagodzenia tego ryzyka. Wspomniana decyzja podkreśla potrzebę podjęcia takich środków podczas przechowywania haseł użytkowników.

RODO wymaga również od administratorów danych prawidłowego dokumentowania naruszeń danych osobowych i powiadamiania organów ochrony danych o zaistniałych naruszeniach. Naruszenie danych osobowych może, jeśli nie zostanie odpowiednio i terminowo rozwiązane, skutkować szkodami, takimi jak utrata kontroli nad danymi osobowymi. Dlatego też, gdy administrator dowie się, że doszło do naruszenia danych osobowych, powinien powiadomić organ nadzorczy bez zbędnej zwłoki, w sposób określony w artykule 33 GDPR.