A Metát 265 millió eurós pénzbírsággal sújtotta az ír adatvédelmi bizottság (DPC) egy 2021-es Facebook-adatszivárgás miatt, amely világszerte több száz millió felhasználó információit hozta nyilvánosságra.
Lezárult a DPC vizsgálata a Meta esetleges GDPR-megsértésére vonatkozóan, amelyet 2021. április 14-én indítottak el, miután 533 millió Facebook-felhasználó adatait közzétették egy hackerfórumon.
A nyilvánosságra hozott információk személyes adatokat tartalmaztak, például mobiltelefonszámokat, Facebook-azonosítókat, neveket, nemeket, tartózkodási helyeket, kapcsolati állapotokat, foglalkozásokat, születési dátumokat és e-mail címeket.
Mindezeket az adatokat egy jól ismert hackerfórumon osztották meg, lehetővé téve a kiberbűnözők számára az adatok felhasználását célzott támadásokhoz.
A platform azt mondta, hogy 2019-ben kijavították a hibát, és az adatokat ezt megelőzően gyűjtötték.
A DPC vizsgálata arra a következtetésre jutott, hogy a Meta (akkor a Facebook) megsértette a GDPR 25. cikkének (1) bekezdését és 25. cikkének (2) bekezdését, az alábbiak szerint:
25. (1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
25. (2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
„Átfogó vizsgálati folyamat zajlott le, beleértve az EU összes többi adatvédelmi felügyeleti hatóságával való együttműködést” – áll a DPC közleményében.
„Ezek a felügyeleti hatóságok egyetértettek a DPC döntésével.”
Az scraperek olyan automatizált robotok, amelyek a felhasználói adatokat tároló platformok (például a Facebook) nyílt API-jait használják ki nyilvánosan elérhető információk kinyerésére és a felhasználói profilok hatalmas adatbázisainak létrehozására.
Bár nincs szó feltörésről, a scraperek által gyűjtött adatkészletek kombinálhatók több pontról (webhelyről) származó adatokkal, teljes profilokat hozva létre a felhasználókról, így sokkal hatékonyabbá válik a felhasználók követése vagy az áldozatok megcélzása.
A Meta esetében azonban a támadók a Facebookon és az Instagramon található Contact Importer hibáját használták fel, hogy telefonszámokat kapcsoljanak össze ezzel a nyilvánosan feltárt információval, lehetővé téve számukra, hogy privát és nyilvános információkat egyaránt tartalmazó profilokat hozzanak létre.
A scraping szembe megy a legtöbb online platform irányelveivel, de ezeknek a szabályoknak a betartatása technikailag bonyolult, amint arra nemrég a TikTok és a WeChat is rávilágított.
A DPC a GDPR-megfelelőség zászlóshajójának számít az EU-ban, mivel sok technológiai vállalat Írországból működik, így döntése minden bizonnyal jelentékeny más adatkezelők számára, és arra kényszeríti őket, hogy újraértékeljék a scraping elleni védelmi mechanizmusaikat.
