DPC розпочала розслідування проти Meta через зберігання паролів користувачів соціальних мереж Instagram та Facebook у її внутрішніх системах у відкритому вигляді (тобто без криптографічного захисту або шифрування) понад п’ять років тому.

У червні 2024 року DPC подала проєкт рішення до інших зацікавлених наглядових органів в ЄС та ЄЕЗ, як того вимагає Загальний регламент захисту даних ЄС (GDPR). Інші органи не висловили жодних заперечень щодо проєкту рішення, і цього тижня DPC оголосила своє остаточне рішення.

Відтак DPC визнала Meta винною у кількох порушеннях GDPR, серед яких не задокументоване порушення персональних даних та не вживання технічних або організаційних заходів для забезпечення належного захисту паролів користувачів від несанкціонованої обробки. За ці порушення компанію оштрафовано на загальну суму 91 мільйон євро (101,75 мільйона доларів).

«Загальновизнано, що паролі користувачів не слід зберігати у відкритому вигляді, враховуючи ризики зловживань, які виникають через осіб, які мають доступ до таких даних. Слід мати на увазі, що паролі, які розглядаються в цьому випадку, є особливо чутливими, оскільки вони дозволять отримати доступ до акаунтів користувачів у соціальних мережах», — коментує заступник комісара DPC Грем Дойл.

Нагадаємо, Meta сама повідомила, що ненавмисно зберегла певні паролі користувачів соціальних мереж без шифрування, у березні 2019 року. Компанія стверджувала, що паролі не були доступні стороннім особам.