 |
| iMage credits:morningstar |
Induk Facebook,
Meta, telah terkena hukuman berat lainnya karena melanggar undang-undang
perlindungan data Eropa.
Denda €265 juta (~$275 juta) diumumkan hari ini oleh
Suruhanjaya Perlindungan Data Ireland (DPC), pengawal selia utama gergasi
teknologi itu untuk Peraturan Perlindungan Data Am (GDPR) Kesatuan Eropah.
DPC mengesahkan bahawa keputusan itu, yang diterima pakai
pada hari Jumaat, merekodkan penemuan pelanggaran Artikel 25(1) dan 25(2) GDPR
— yang tertumpu pada perlindungan data secara reka bentuk dan lalai.
DPC berkata ia juga mengenakan pelbagai langkah pembetulan, menulis: “Keputusan itu mengenakan teguran dan perintah yang memerlukan MPIL [Meta Platforms Ireland Limited] untuk membawa pemprosesannya kepada pematuhan dengan mengambil pelbagai tindakan pembetulan tertentu dalam jangka masa tertentu. .”
Penalti itu berkaitan dengan siasatan yang dibuka oleh DPC
pada 14 April 2021, berikutan laporan media mengenai lebih 530 juta data
peribadi pengguna Facebook — termasuk alamat e-mel dan nombor telefon mudah
alih — didedahkan dalam talian.
Pada masa itu, Facebook cuba mengecilkan pelanggaran itu - mendakwa data yang ditemui terapung dalam talian adalah "data lama" dan ia telah membetulkan isu yang membawa kepada data peribadi terdedah.
Syarikat itu mengikutinya dengan mengatakan ia percaya data
itu telah dikikis daripada profil Facebook oleh "pelakon berniat
jahat" menggunakan ciri pengimport kenalan yang ditawarkannya sehingga
September 2019, sebelum ia mengubahnya untuk mencegah penyalahgunaan data dengan
menyekat keupayaan untuk memuat naik set besar nombor telefon untuk mencari
nombor yang sepadan dengan profil Facebook.
DPC mengesahkan siasatannya melihat pelbagai alat carian
kenalan dan pengimport yang ditawarkan oleh syarikat pada platformnya antara tarikh
GDPR mula digunakan dan tarikh perubahan pada alat pengimport kenalan Facebook
yang dibuat pada musim gugur 2019.
“Skop siasatan berkenaan pemeriksaan dan penilaian alat
Carian Facebook, Pengimport Kenalan Facebook Messenger dan Pengimport Kenalan
Instagram berhubung pemprosesan yang dijalankan oleh Meta Platforms Ireland
Limited ('MPIL') dalam tempoh antara 25 Mei 2018 dan September 2019 ,” tulis
DPC.
"Isu penting dalam siasatan ini melibatkan persoalan
pematuhan terhadap kewajipan GDPR untuk Perlindungan Data secara Reka Bentuk
dan Lalai," tambahnya, dengan menyatakan bahawa ia telah meneliti
pelaksanaan langkah "teknikal dan organisasi" yang berkaitan dengan
Perkara 25 GDPR (yang berkaitan dengan perlindungan data mengikut reka bentuk
dan lalai).
“Terdapat proses penyelidikan menyeluruh, termasuk kerjasama
dengan semua pihak berkuasa penyeliaan perlindungan data lain dalam EU. Pihak
berkuasa penyeliaan tersebut bersetuju dengan keputusan DPC,” kata pengawal
selia itu — memberi tumpuan kepada kekurangan perselisihan pendapat mengenai
keputusan khusus ini, yang selalunya tidak berlaku dengan penguatkuasaan GDPR
rentas sempadan (sementara pertikaian antara pengawal selia EU selalunya boleh
meningkatkan dengan ketara masa yang diperlukan untuk menguatkuasakan GDPR —
maka keputusan muktamad ini telah tiba dengan cepat).
Timbalan Pesuruhjaya DPC, Graham Doyle, memberitahu TechCrunch bahawa langkah pembetulan yang telah digunakan untuk Meta sebagai sebahagian daripada keputusan ini adalah “perintah menurut Artikel 58(2)(d) GDPR… untuk membawa pemprosesannya mematuhi GDPR dalam cara yang dinyatakan dalam Keputusan ini” — dengan syarikat mendapat tarikh akhir tiga bulan dari tarikh keputusan muktamad untuk mematuhinya.
“Secara khusus, setakat MPIL terlibat dalam pemprosesan
berterusan data peribadi yang termasuk tetapan kebolehcarian lalai bagi 'Semua
orang', perintah ini memerlukan… MPIL untuk melaksanakan langkah teknikal dan
organisasi yang sesuai berkenaan Ciri-ciri Berkaitan berkenaan dengan sebarang
pemprosesan berterusan bagi data peribadi, untuk memastikan bahawa, secara
lalai, hanya data peribadi yang diperlukan untuk setiap tujuan tertentu
pemprosesan diproses, dan secara lalai data peribadi tidak boleh diakses tanpa
campur tangan individu kepada bilangan orang asli yang tidak ditentukan,” dia
menambah, menekankan: "Perintah ini dibuat untuk memastikan pematuhan
Artikel 25(2) GDPR."
"Ciri Berkaitan" dalam konteks ini ialah
Pengimport Kenalan Facebook; Pengimport Kenalan Messenger; Pengimport Kenalan
Instagram; dan Carian Messenger; dan ciri-ciri varian Messenger Contact
Creatornya.
Meta telah dihubungi untuk mendapatkan jawapan. Seorang
jurucakap tidak mengesahkan sama ada ia akan membuat rayuan atau tidak - tetapi
gergasi teknologi itu berkata ia "menyemak" keputusan itu
"dengan berhati-hati".
Berikut adalah kenyataan Meta:
Melindungi privasi dan keselamatan data orang adalah asas
kepada cara perniagaan kami berfungsi. Itulah sebabnya kami telah bekerjasama
sepenuhnya dengan Suruhanjaya Perlindungan Data Ireland mengenai isu penting
ini. Kami membuat perubahan pada sistem kami sepanjang masa yang dipersoalkan,
termasuk mengalih keluar keupayaan untuk mengikis ciri kami dengan cara ini
menggunakan nombor telefon. Pengikisan data tanpa kebenaran adalah tidak boleh
diterima dan bertentangan dengan peraturan kami dan kami akan terus bekerjasama
dengan rakan sebaya kami dalam cabaran industri ini. Kami sedang menyemak
keputusan ini dengan teliti.
Syarikat itu menambah bahawa ia telah melaksanakan pelbagai
langkah untuk memerangi pengikisan data sejak pelanggaran ini — termasuk
menggunakan had kadar dan menggunakan alat teknikal untuk memerangi aktiviti
automatik yang mencurigakan, serta menyediakan pengguna dengan kawalan untuk
mengehadkan keterlihatan awam maklumat mereka .
Penalti GDPR bukanlah yang pertama untuk Meta — dan ia
mungkin bukan yang terakhir.
Lebih setahun yang lalu, WhatsApp milik Meta didenda €225
juta (~$267 juta) kerana pelanggaran ketelusan. Awal musim gugur ini Instagram
milik Meta telah dikenakan penalti €405 juta untuk pelanggaran privasi
kanak-kanak. Sementara itu, pada bulan Mac, syarikat itu juga didenda sekitar
$18.6 juta atas rentetan pelanggaran data Facebook bersejarah.
DPC juga mempunyai beberapa pertanyaan berterusan mengenai
aspek perniagaan Meta yang lain — tidak kurang dari satu siasatan utama asas
undang-undang Meta yang mendakwa dapat memproses data orang yang bermula
sekitar 4.5 tahun.
Sumber: techcrunch.com