إعادة ضبط ساعاتك: تعرضت Meta لعقوبة خصوصية أخرى في أوروبا. في يوم الجمعة، أعلنت لجنة حماية البيانات الأيرلندية (DPC) عن توبيخ وغرامة قدرها 91 مليون يورو – حوالي 101.5 مليون دولار بأسعار الصرف الحالية – بعد الانتهاء من تحقيق دام عدة سنوات في الاختراق الأمني الذي قامت به الشركة الأم لفيسبوك عام 2019.
فتحت لجنة حماية البيانات (DPC) تحقيقًا قانونيًا في الحادث المعني في أبريل 2019 بموجب اللائحة العامة لحماية البيانات (GDPR) للكتلة بعد أن أبلغتها شركة Meta، أو Facebook كما كان يُطلق عليها في ذلك الوقت، بأن “مئات الملايين” من كلمات مرور المستخدمين تم تخزينها في نص عادي على خوادمها.
يعد الحادث الأمني مسألة قانونية في الاتحاد الأوروبي لأن اللائحة العامة لحماية البيانات تتطلب تأمين البيانات الشخصية بشكل مناسب.
بعد التحقيق، خلصت لجنة حماية البيانات (DPC) إلى أن Meta فشلت في تلبية المعايير القانونية للكتلة نظرًا لأن كلمات المرور لم تكن محمية بالتشفير. لقد خلق ذلك خطرًا حيث يمكن لأطراف ثالثة الوصول إلى المعلومات الحساسة للأشخاص المخزنة في حساباتهم على وسائل التواصل الاجتماعي.
كما وجدت الهيئة التنظيمية، التي تتولى الإشراف على امتثال Meta للائحة العامة لحماية البيانات، أن Meta قد انتهكت القواعد من خلال الفشل في إخطارها بالانتهاك خلال الإطار الزمني المطلوب (تنص اللائحة عمومًا على أن الإبلاغ عن الانتهاك يجب أن يتم في موعد لا يتجاوز 72 ساعة بعد العلم به) ). فشلت Meta أيضًا في توثيق الانتهاك بشكل صحيح، وفقًا لـ DPC.
وتعليقًا على ذلك، كتب نائب المفوض جراهام دويل: “من المقبول على نطاق واسع أنه لا ينبغي تخزين كلمات مرور المستخدم في نص عادي، مع الأخذ في الاعتبار مخاطر إساءة الاستخدام التي تنشأ من وصول الأشخاص إلى هذه البيانات. ويجب أن يؤخذ في الاعتبار أن كلمات المرور موضوع النظر في هذه الحالة، حساسة بشكل خاص، لأنها ستمكن من الوصول إلى حسابات المستخدمين على وسائل التواصل الاجتماعي.
عند الوصول للرد على عقوبات اللائحة العامة لحماية البيانات، أرسل المتحدث باسم Meta، ماثيو بولارد، بيانًا عبر البريد الإلكتروني سعت فيه الشركة إلى التقليل من النتيجة من خلال الادعاء بأنها اتخذت “إجراءً فوريًا” بشأن ما كان “خطأ” في عمليات إدارة كلمات المرور الخاصة بها.
“كجزء من المراجعة الأمنية في عام 2019، وجدنا أن مجموعة فرعية من فيسبوك [Facebook] تم تسجيل كلمات مرور المستخدمين مؤقتًا بتنسيق قابل للقراءة داخل أنظمة البيانات الداخلية لدينا. وكتب ميتا: “لقد اتخذنا إجراءات فورية لإصلاح هذا الخطأ، ولا يوجد دليل على إساءة استخدام كلمات المرور هذه أو الوصول إليها بشكل غير صحيح”. “لقد أبلغنا هذه المشكلة بشكل استباقي إلى الجهة التنظيمية الرئيسية لدينا، وهي لجنة حماية البيانات الأيرلندية، وشاركنا معهم بشكل بناء طوال هذا التحقيق.“
لقد فرضت شركة Meta بالفعل أغلبية أكبر العقوبات التي فرضتها اللائحة العامة لحماية البيانات (GDPR) على عمالقة التكنولوجيا، لذا فإن العقوبة الأخيرة تؤكد فقط حجم مشاكلها فيما يتعلق بالامتثال للخصوصية.
العقوبة أشد بشكل ملحوظ من الغرامة البالغة 17 مليون يورو التي فرضتها DPC على Meta في مارس 2022 بسبب خرق أمني عام 2018. وقد قامت الهيئة التنظيمية الأيرلندية بتغيير الإدارة العليا منذ ذلك الحين. ومع ذلك، فإن الحادثتين مختلفتان أيضًا: فقد أثرت الثغرات الأمنية السابقة لشركة Meta على ما يصل إلى 30 مليون مستخدم على Facebook مقارنة بمئات الملايين الذين قيل أن كلمات مرورهم قد تم الكشف عنها نتيجة لفشلها في تأمين كلمات المرور في عام 2019.
يمكّن القانون العام لحماية البيانات سلطات حماية البيانات من إصدار غرامات على الانتهاكات حيث يتم حساب مبلغ أي عقوبات بناءً على عوامل مثل طبيعة الانتهاك وخطورته ومدته؛ نطاق أو غرض المعالجة؛ وعدد أصحاب البيانات المتأثرين ومستوى الضرر الذي لحق بهم، من بين اعتبارات أخرى.
أعلى عقوبة ممكنة بموجب اللائحة العامة لحماية البيانات هي 4% من حجم الأعمال السنوي العالمي. لذلك، في حالة ميتا، قد تبدو الغرامة البالغة 91 مليون يورو بمثابة جزء كبير من التغيير – لكنها تظل جزءًا صغيرًا من المليارات التي يمكن أن تواجهها الشركة نظريًا، نظرًا لأن إيراداتها السنوية لعام 2023 كانت مذهلة البالغة 134.90 مليار دولار.