Az Ír Adatvédelmi Bizottság (DPC) 91 millió eurós (100 millió dolláros) bírságot szabott ki a Meta Platforms Ireland Limited (MPIL) számára, mivel több száz millió felhasználó jelszavait titkosítás nélkül, úgynevezett kódolatlan, sima szöveges „plaintext” formátumban tárolták. Az eset 2019-ben történt, amikor a Meta nyilvánosan bejelentette a történteket és értesítette a DPC-t, amely vizsgálatot indított a techóriás felhasználói adatkezelési gyakorlatáról.

„A 2019 márciusi értesítés során az MPIL tájékoztatta a DPC-t, hogy véletlenül titkosítatlanul tárolta bizonyos közösségimédia-felhasználók jelszavait a belső rendszereiben” – olvasható a DPC közleményében.

Bár a Meta nem hozta nyilvánosságra, hogy hány felhasználó érintett, becslése szerint "százmillió Facebook Lite felhasználót, több millió egyéb Facebook-felhasználót és Instagram-felhasználót" fog értesíteni.

Fontos megjegyezni, hogy a jelszavak nem voltak külső felek számára hozzáférhetőek, és a vizsgálat nem talált visszaélésre utaló nyomokat.

A jelszavak megfelelő védelem nélküli tárolása – például titkosítás és hozzáférés-korlátozás hiányában – több általános adatvédelmi rendelet (GDPR) cikkelyének megsértését jelenti, beleértve:

• 33(1) cikkely: Meta nem értesítette időben a DPC-t, ami adatvédelmi incidensnek minősül.
• 33(5) cikkely: Meta nem dokumentálta megfelelően a személyes adatok megsértését.
• 5(1)(f) cikkely: A jelszavak titkosítatlan tárolása nem biztosította az adatok védelmét.
• 32(1) cikkely: Meta nem alkalmazott megfelelő technikai és szervezési intézkedéseket a jelszavak védelmére.

Az említett szabálysértések miatt, figyelembe véve, hogy a Meta önként értesítette az ír adatvédelmi hatóságot, a DPC hivatalos megrovást és 91 millió eurós közigazgatási bírságot szabott ki.

A DPC a későbbiekben nyilvánosságra hozza a teljes döntést és az esettel kapcsolatos további információkat.