Data Protection Commission (DPC) har bötfällt Meta Platforms Ireland Limited med 265 miljoner euro för överträdelser av dataskyddsförordningen (GDPR). Utöver sanktionsavgifterna har DPC också utfärdat en reprimand och ett föreläggande där företaget åläggs att se till att behandlingen av personuppgifter överensstämmer med kraven genom att vidta en rad specificerade korrigerande åtgärder.
Av DPC:s pressmeddelande framgår bland annat att myndigheten inlett en utredning den 14 april 2021, efter att media rapporterat om upptäckten av en samling av Facebooks personuppgifter som gjorts tillgängliga på internet. Utredningen gällde en granskning och bedömning av verktygen Facebook Search, Facebook Messenger Contact Importer och Instagram Contact Importer i samband med behandling som utfördes av Meta under perioden mellan den 25 maj 2018 och september 2019.
De väsentliga frågorna i utredningen gällde frågor om efterlevnad av kraven på inbyggt dataskydd (Privacy by Design) och dataskydd som standard (Privacy by Default) enligt artikel 25.1 och 25.2 GDPR. DPC har kontrollerat om Meta genomfört lämpliga tekniska och organisatoriska åtgärder vid behandlingen av personuppgifter i enlighet med artikel 25 GDPR (som behandlar detta begrepp).
Efter en omfattande utredning presenterade DPC ett utkast till beslut för alla berörda tillsynsmyndigheter i EU. Då samtliga tillsynsmyndigheter ställt sig bakom DPC:s utkast till beslut antog myndigheten den 25 november 2022 beslutet att dels bötfälla Meta med 265 miljoner euro, dels utfärda en reprimand och ett föreläggande där företaget åläggs att se till att behandlingen av personuppgifter överensstämmer med kraven genom att vidta en rad specificerade korrigerande åtgärder.