Προστίμου ύψους €17 εκατομμύριων στη Meta λόγω παραβίασης του GDPR.

Η Αρχή προστασίας προσωπικών δεδομένων της Ιρλανδίας- Irish Data Protection Commission (DPC) ανακοίνωσε την επιβολή προστίμου ύψους €17 εκατομμύριων ($18.6 εκατομμυρίων) στη Meta Platforms Ireland Limited (πρώην Facebook Ireland Limited), τη μητρική εταιρία των Facebook, Instagram και WhatsApp, («Πλατφόρμες Meta») με βάση τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (GDPR) για μια σειρά παραβιάσεων του Facebook το 2018.

Η ευρωπαϊκή έδρα της μητρικής εταιρίας Meta βρίσκεται στην Ιρλανδία, γεγονός που σημαίνει ότι καταρχήν η DPC είναι αρμόδια για τη διερεύνηση καταγγελιών και παραβιάσεων δεδομένων που τυγχάνουν επεξεργασίας από την εν λόγω εταιρία. Μεταξύ της 7ης Ιουνίου 2018 και της 4ης Δεκεμβρίου 2018, η Meta γνωστοποίησε στην DPC 12 διαρροές δεδομένων που αφορούσαν προσωπικά δεδομένα έως και 30 εκατομμυρίων χρηστών του Facebook. Στην συνέχεια, η DPC ξεκίνησε έρευνα προκειμένου να διαπιστώσει αν και κατά πόσο η Meta είναι συμμορφωμένη με τον GDPR και ειδικότερα με τα άρθρα 5 παρ. 1 στοιχείο στ., 5 παρ. 2, 24 παρ. 1 και 32 παρ. 1 του GDPR που αφορούν την επεξεργασία των προσωπικών δεδομένων των πολιτών της ΕΕ.

Αναλυτικότερα, τo 5 παρ. 1 στοιχείο στ. του GDPR αναφέρεται στις αρχές της Ακεραιότητας και Εμπιστευτικότητας που πρέπει να διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το άρθρο 5 παρ. 2 αναφέρεται στην βασική αρχή της Λογοδοσίας που βαρύνει τον Υπεύθυνο Επεξεργασίας των Δεδομένων. Το άρθρο 24 παρ. 1 υπογραμμίζει την ευθύνη του Υπεύθυνου Επεξεργασίας, ο οποίος οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τις απαιτήσεις του GDPR. Tέλος, το 32 παρ. 1 αναφέρεται στα  εν λόγω κατάλληλα τεχνικά και οργανωτικά μέτρα που διασφαλίζουν το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, και της διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

Την 15^η Μαρτίου 2022, η DPC ανακοίνωσε την τελική της απόφαση, με βάση την οποία οι Πλατφόρμες Meta παραβίασαν τα άρθρα 5(2) και 24(1) του GDPR. Διαπίστωσε, δηλαδή, ότι η Meta ως Υπεύθυνος Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πολιτών της ΕΕ δεν διέθετε τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα επέτρεπαν στην εταιρία να αποδείξει τα αναγκαία μέτρα ασφαλείας που όφειλε να εφαρμόζει για την προστασία των προσωπικών δεδομένων των χρηστών της ΕΕ.

Ενδιαφέρον είναι ότι, ενώ η DPC αποτέλεσε επικεφαλής της έρευνας, η Meta προβαίνει σε διασυνοριακή επεξεργασία δεδομένων, γεγονός που συνεπάγεται την συμμετοχή και όλων των άλλων εποπτικών αρχών στην ΕΕ ως φορέων λήψης αποφάσεων. Όλες οι εποπτικές αρχές, εκτός από δύο, συμφώνησαν με την ανωτέρω απόφαση της DPC. Η DPC συνεργάστηκε, μάλιστα, και με τις δύο εποπτικές αρχές που εξέφρασαν αντιρρήσεις και πέτυχε συναίνεση, όπως ορίζεται στο άρθρο 60 GDPR.

Μιλώντας στο Engadget, ένας ο εκπρόσωπος της Meta δήλωσε: “This fine is about record keeping practices from 2018 that we have since updated, not a failure to protect people’s information. We take our obligations under the GDPR seriously and will carefully consider this decision as our processes continue to evolve.”

(«Αυτό το πρόστιμο αφορά πρακτικές τήρησης αρχείων από το 2018, τις οποίες έχουμε έκτοτε επικαιροποιήσει, και όχι αποτυχία στην προστασία των πληροφοριών των ανθρώπων. Λαμβάνουμε σοβαρά υπόψη τις υποχρεώσεις μας βάσει του GDPR και θα εξετάσουμε προσεκτικά αυτή την απόφαση, καθώς οι διαδικασίες μας συνεχίζουν να εξελίσσονται”.)

Αυτή δεν ήταν, ωστόσο, η πρώτη χρηματική ποινή που επιβάλλεται στην εταιρία Meta από την DPC για παραβιάσεις του GDPR. Πέρυσι, η DPC επέβαλε χρηματικό πρόστιμο ύψους €225 εκατομμυρίων ($267 εκατομμυρίων) για τη μη συμμόρφωση της με την αρχή της Διαφάνειας του GDPR όσον αφορά την πλατφόρμα άμεσων μηνυμάτων WhatsApp.