Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 91 miljoner euro mot Meta Platforms Ireland Limited för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att beslutet är det slutliga resultatet av en utredning som inleddes i april 2019 efter att Meta underrättat DPC om personuppgiftsincidenten. Meta meddelade DPC att man oavsiktligt lagrat lösenord för användare av sociala medier i klartext i sina interna system utan kryptografiskt skydd eller kryptering.
I juni 2024 lämnade DPC ett utkast till beslut enligt artikel 60 GDPR till övriga berörda tillsynsmyndigheter inom EU/EES och de övriga myndigheterna hade inte haft några invändningar.
I sitt beslut konstaterade DPC följande överträdelser:
- Underlåtenhet att underrätta DPC om personuppgiftsincidenten avseende lagring av användarlösenord i klartext enligt artikel 33.1 GDPR.
- Underlåtenhet att dokumentera personuppgiftsincidenten avseende lagring av användarlösenord i klartext enligt artikel 33.5 GDPR.
- Underlåtenhet att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda användares lösenord mot obehörig behandling enligt artikel 5.1 (f) GDPR.
- Underlåtenhet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken, inklusive konfidentialitet för användares lösenord enligt artikel 32.1 GDPR.
DPC framhöll att en personuppgiftsincident som inte åtgärdas kan leda till skada, såsom förlust av kontroll över personuppgifter, och tilldelade Meta en reprimand enligt artikel 58.2 (b) GDPR och utfärdar en sanktionsavgift om 91 miljoner euro enligt artiklarna 58.2 och 83 GDPR.