Boka kurs

Irland: Meta får 251 miljoner euro i sanktionsavgift efter ett dataintrång som påverkat miljontals Facebook-användares uppgifter

Linkedin Facebook X-twitter Envelope

Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 251 miljoner euro mot Meta Platforms Ireland Limited för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Meta i juli 2017 implementerat en så kallad ”View-as”-funktion på Facebook som gjorde det möjligt för användare att se sin egen Facebook-sida som den skulle se ut för en annan användare. Funktionen inkluderade en videouppladdningsfunktion som skapade så kallade användartokens. Användartokens är kodade identiteter som används för att verifiera användare och som kan kontrollera åtkomst till plattformsfunktioner och personuppgifter. Användare kunde därför använda dessa tokens för att få tillgång till andra konton.

Mellan den 14 och 18 september 2018 orsakade en tredje part ett stort dataintrång genom att använda tokens för att logga in som andras Facebook-konton. Dataintrånget påverkade cirka 29 miljoner Facebook-användare globalt, varav 3 miljoner var baserade i EU/EES. Meta-anställda blev medvetna om dataintrånget genom en ovanlig ökning av videouppladdningar och tog bort funktionen kort därefter.

DPC konstaterade att Meta brutit mot artikel 33.3 GDPR för att inte ha inkluderat nödvändig information i sin anmälan om personuppgiftsincident. För denna överträdelse utfärdade DPC en reprimand och fastställde en administrativ sanktionsavgift på 8 miljoner euro.

DPC konstaterade även en överträdelse av artikel 33.5 GDPR eftersom Meta underlåtit att på lämpligt sätt dokumentera fakta om överträdelsen och de korrigerande åtgärder som vidtagits. För att ha hindrat tillsynsmyndigheternas förmåga att kontrollera efterlevnaden utfärdade DPC en reprimand och fastställde en administrativ sanktionsavgift på 3 miljoner euro.

Vidare konstaterade DPC att Meta brutit mot artikel 25.1 GDPR för att inte ha införlivat dataskyddsprinciper i utformningen av funktionen. För detta utfärdade DPC en reprimand och fastställde en administrativ sanktionsavgift på 130 miljoner euro.

Dessutom konstaterade DPC att Meta brutit mot artikel 25.2 GDPR för att inte ha säkerställt att endast nödvändiga personuppgifter behandlades som standard. För detta utfärdade DPC en reprimand och fastställde en administrativ sanktionsavgift på 110 miljoner euro.

Mer information

Myndighet: Data Protection Commission (DPC)

Land: Irland

Lagrum: Art. 25 GDPR, art. 33 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 251 000 000 euro

Mottagare: Meta Platforms Ireland Limited

Beslutsnummer: N/A

Beslutsdatum: 2024-12-17

Källa: Pressmeddelande

Relaterade nyheter

Spanien: Personuppgiftsansvarig får 300 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Spanien: Energibolag får 500 000 euro i sanktionsavgift för felaktig hantering av kunduppgifter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Spanien: Sjukhus får 1 200 000 euro i sanktionsavgift för att ha raderat en patients hälsouppgifter

Sverige: Nya lagar ska stärka Sveriges cybersäkerhet

Italien: Kommun får 18 000 euro i sanktionsavgift för otillåtet offentliggörande av personuppgifter

Spanien: Narobesa får 1 600 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Italien: Comuni di Orte får 6 000 euro i sanktionsavgift för olaglig kamerabevakning

Fler nyheter

Är du redo för AI-förordningen?

AI-förordningen påverkar alla verksamheter som utvecklar eller använder AI. Gör dig och dina kollegor redo för de nya kraven. Gå AI-kurs med oss.

Till våra AI-kurser