Meta, virksomheden bag Facebook, har modtaget en massiv bøde på €251 millioner fra Irlands Databeskyttelseskommission (DPC). Bøden kommer som konsekvens af et større databrud i 2018, der berørte omkring 29 millioner Facebook-brugere, hvoraf tre millioner var baseret i EU.
Om selve databruddet
Databruddet fandt sted mellem 14. og 28. september 2018, da uautoriserede personer udnyttede en sårbarhed i Facebooks “View As”-funktion. Denne sårbarhed gjorde det muligt for angriberne at logge ind som andre brugere og få adgang til en lang række personlige oplysninger, herunder:
- Fulde navne
- E-mailadresser
- Telefonnummer
- Lokationer
- Arbejdspladser
- Fødselsdatoer
- Religion
- Køn
- Indlæg på tidslinjer
- Gruppetilhørsforhold
- Børns personlige data
GDPR-overtrædelser og Bødebeløb
Ifølge DPC overtrådte Meta flere artikler i GDPR, hvilket resulterede i følgende sanktioner:
- Mangelfuld underretning om bruddet (€8 millioner) – Meta undlod at give en fuld meddelelse om bruddet på tidspunktet for hændelsen.
- Utilstrækkelig dokumentation (€3 millioner) – Meta dokumenterede ikke tilstrækkeligt fakta og de trufne foranstaltninger efter bruddet.
- Manglende databeskyttelsesprincipper i systemdesign (€130 millioner) – Meta designede ikke deres systemer med indbygget databeskyttelse.
- Unødvendig databehandling som standard (€110 millioner) – Meta undlod at sikre, at kun nødvendige data blev behandlet for specifikke formål.
DPC’s Udtalelse
DPC vil offentliggøre yderligere detaljer om beslutningen snarest. Ifølge vicekommissær Graham Doyle understreger denne sanktion vigtigheden af at integrere databeskyttelse gennem hele design- og udviklingsprocessen:
“Denne overtrædelse eksponerede brugere for alvorlige risici, herunder misbrug af personlige data som religiøse og politiske overbevisninger, seksuel orientering og andre særligt følsomme oplysninger.”