Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 17 miljoner euro mot Meta Platforms Ireland Limited (tidigare Facebook Ireland Limited) för överträdelse av artiklarna 5.2 och 24.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att DPC undersökt i vilken utsträckning Meta uppfyllt kraven i artiklarna 5.1 (f), 5.2, 24.1 och 32.1 GDPR i samband med behandlingen av personuppgifter. Granskningen skedde efter en serie på 12 anmälningar om dataintrång som inträffat hos Meta under perioden mellan den 7 juni 2018 och den 4 december 2018. Eftersom den aktuella behandlingen utgjorde gränsöverskridande behandling, har DPC:s beslut varit föremål för den process som anges i artikel 60 GDPR varpå alla andra europeiska tillsynsmyndigheter deltagit som medbeslutande myndigheter.
Enligt DPC har Meta inte vidtagit lämpliga tekniska och organisatoriska åtgärder som gör det möjligt för företaget att lätt visa vilka säkerhetsåtgärder som de i praktiken vidtagit för att skydda EU-användarnas uppgifter i samband med de 12 personuppgiftsincidenterna, vilket strider mot artiklarna 5.2 och 24.1 GDPR. Mot bakgrund av detta ålade DPC Meta en sanktionsavgift på 17 miljoner euro.