Veri İhlali Sonucu Milyonlarca Kişiyi Etkileyen Meta’ya 251 Milyon Euro Para Cezası Kesildi

İrlanda Veri Koruma Komisyonu (DPC), 2018’de meydana gelen büyük bir veri ihlali ile ilgili olarak yapılan iki soruşturmanın ardından Meta Platformlar İrlanda Limited (MPIL) şirketine 251 milyon Euro para cezası verdi, DPC basın bülteninde bildirildiği gibi.

Bu ihlal, isimler, e-posta adresleri, telefon numaraları ve daha fazlası dahil olmak üzere hassas kişisel verileri ifşa ederek, dünya genelinde yaklaşık 29 milyon Facebook hesabını etkiledi. Etkilenenlerin arasında, Avrupa Birliği ve Avrupa Ekonomik Alanı’nda (AB/AEA) yer alan yaklaşık 3 milyon hesap da bulunmaktaydı, dedi DPC.

İhlal, yetkisiz üçüncü tarafların Facebook platformundaki kullanıcı tokenlerini kullanarak kullanıcı verilerine erişim sağlamasıyla gerçekleşti. MPIL, olayı Eylül 2018’de bildirdi ve ihlal, MPIL ve ABD’deki ana şirketi tarafından hızla giderildi.

The Record, bir Meta sözcüsünün, cezanın altı yıl önce gerçekleşen bir olaydan kaynaklandığını belirten bir açıklama yaptığını belirtiyor.

“Sorunu tespit ettiğimiz anda hemen harekete geçerek çözüm ürettik ve etkilenen kişileri ve İrlanda Veri Koruma Komisyonu’nu bilgilendirdik,” dedi açıklama, The Record tarafından bildirildiği üzere. “Platformlarımızda insanları korumak için sektörde lider bir dizi önlemimiz bulunmaktadır.”

Son kararlarında, DPC, Genel Veri Koruma Yönetmeliği (GDPR) ihlallerini birden fazla kez belirtti ve sonuç olarak ciddi para cezalarına hükmetti. Komisyonun soruşturmaları, uyulmaması durumunda iki anahtar alanı tespit etti.

İlk karar, Meta’nın ihlal bildiriminde gerekli tüm bilgileri içermemesi üzerine yoğunlaştı. Özellikle, şirket ihlal hakkında yeterli ayrıntı sağlamamıştı. Ayrıca, Meta, ihlal gerçeklerini belgelemekte başarısız olduğu için azarlandı. Sonuç olarak, DPC sırasıyla €8 milyon ve €3 milyon para cezası verdi.

İkinci karar, Meta’nın sistem tasarımında veri koruma ilkelerini sürdürme başarısızlığı ile ilgiliydi, çünkü işleme sistemlerine veri koruma önlemlerini yetersiz bir şekilde entegre ettiği bulundu.

Ayrıca, Meta, sadece gerekli kişisel verilerin işlenmesini sağlamadığı için cezalandırıldı. DPC’ye göre bu ihlallerin toplam cezası €130 milyon ve €110 milyon oldu.

DPC’nin Başkan Yardımcısı Graham Doyle, ihlalin ciddiyetini vurguladı ve yetersiz veri koruma önlemlerinin bireyleri önemli risklere maruz bırakabileceğini belirtti.

“Facebook profilleri, genellikle dini veya politik inançlar, cinsel yaşam veya yönelim ve kullanıcının belirli durumlarda sadece ifşa etmek isteyebileceği benzer konular hakkında bilgi içerebilir.” Doyle basın bülteninde söyledi.

“Profil bilgilerinin yetkisiz bir şekilde ifşa edilmesine izin vererek, bu ihlalin arkasındaki zafiyetler bu tür verilerin kötüye kullanılma riskini ciddi şekilde artırdı,” Doyle ekledi.

DPC’nin soruşturması, standart GDPR sürecini izledi ve taslak karar Eylül 2024’te akran incelemesi için sunuldu. Komisyon, bulgularına itiraz gelmedi ve diğer AB/EEA denetim otoritelerine işbirlikleri için teşekkür etti.

Bu uygulama, AB içinde faaliyet gösteren şirketler için güçlü veri koruma önlemlerinin önemini keskin bir şekilde hatırlatmaktadır.

Salı günü açıklanan para cezası, Meta’nın Avrupa veri koruma yasalarını ihlal etmesi nedeniyle karşılaştığı son mali cezayı işaret ediyor. Eylül ayında, DPC, Meta’ya kullanıcıların şifre verilerini düzgün bir şekilde koruyamama suçundan 101,5 milyon dolar para cezası uygulamıştı.