Genel Veri Koruma Yönetmeliği (GDPR), Standartlar, Düzenlemeler ve Uyumluluk
Meta Temyiz Yemini Verdi
Akşaya Asokan (asokan_akshaya) •
17 Aralık 2024
İrlanda veri düzenleyicisi, 2018’de çocuklar da dahil olmak üzere milyonlarca Avrupalı Facebook kullanıcısının hassas verilerini açığa çıkaran bir hack nedeniyle sosyal medya platformu Meta’ya 251 milyon euro para cezası verdi.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Yazılım Tedarik Zinciri Platformu
İrlanda Veri Koruma Komisyonu, 2018 yılında, şirketin saldırganların kimlik doğrulama belirteçlerini çalmasına ve kullanıcı profillerini ele geçirmesine olanak tanıyan bir kusurdan kaynaklanan bir ihlal konusunda ajansı uyarmasının ardından Meta hakkında iki soruşturma başlattı. Hata, Facebook’un “Farklı Görüntüle” özelliğindeydi ve kullanıcının kendi profilini başkalarına göründüğü gibi görmesine izin veriyordu. Bilgisayar korsanları, Avrupa’daki 3 milyon kullanıcının kullanıcı adlarına, e-posta adreslerine, telefon numaralarına, konum ve cinsiyet bilgilerine erişti. DPC, dünya çapında 29 milyon kişinin bu hatadan etkilendiğini söyledi.
DPC Komiser Yardımcısı Graham Doyle, “Facebook profilleri dini veya siyasi inançlar, cinsel yaşam veya yönelim gibi konularda bilgiler içerebilir ve sıklıkla da içerir” dedi. “Profil bilgilerinin yetkisiz bir şekilde açığa çıkmasına izin veren bu ihlalin arkasındaki güvenlik açıkları, bu tür verilerin kötüye kullanılması konusunda ciddi bir risk yarattı.”
Ajans tarafından yapılan analizde, Meta’nın ihlalle ilgili tüm bilgileri sağlayamadığı ve düzeltme adımlarını belgeleyemediği için Genel Veri Koruma Yönetmeliği’nin birçok şartını ihlal ettiği ortaya çıktı. Meta ayrıca veri işleme sistemlerinde yerleşik gizlilik çerçevelerine sahip değildi ve gerekli olmayan kişisel verileri varsayılan olarak işliyordu.
Bir Meta sözcüsü, “Bu karar 2018’deki bir olayla ilgilidir. Sorunu tespit eder etmez çözmek için derhal harekete geçtik ve etkilenen kişilerin yanı sıra İrlanda Veri Koruma Komisyonu’nu da proaktif olarak bilgilendirdik.” diye ekledi.
Sözcü, Meta’nın DPC cezasına itiraz edeceğini söyledi.
2021’de Meta, olayla ilgili olarak ABD federal mahkemesinde 6,5 milyon dolarlık avukat ücreti ve kullanıcı güvenliğinde iyileştirmeler yapma taahhüdünün yanı sıra beş yıllık bağımsız izleme karşılığında başlatılan toplu davayı sonuçlandırdı.
“Farklı Görüntüle” kusuru aslında, doğum günü videolarının kolay yüklenmesi için Temmuz 2017’de tanıtılan bir özellikteki güvenlik açığı da dahil olmak üzere birbirine zincirlenmiş üç kusurdan oluşuyordu. Bilgisayar korsanları, kusurları 14 ve 28 Eylül 2018 tarihleri arasında komut dosyalarıyla otomatikleştirdi; bu da video yükleme etkinliğinde anormal bir artışa ve kusurların sonunda Meta tarafından keşfedilmesine yol açtı.
Meta, son aylarda gizlilik uygulamaları nedeniyle Avrupalı veri düzenleyicilerinin çeşitli düzenleyici işlemleriyle karşı karşıya kaldı.
Eylül ayında DPC, bir soruşturmanın şirketin milyonlarca Avrupalı Facebook ve Instagram kullanıcısının şifrelerini güvenli olmayan bir şekilde sakladığının ortaya çıkmasının ardından sosyal medya devine 91 milyon euro para cezası verdi. Düzenleyici, şirketin 106 ülkedeki tüketicilerin adlarını, telefon numaralarını ve doğum tarihlerini içeren 533 milyon kullanıcıya ait verileri ifşa etmesinin ardından 2022 yılında Meta’ya 265 milyon avro para cezası verdi (bkz: Meta, GDPR İhlalleri Nedeniyle İrlanda Gizlilik Düzenleyicisi Tarafından Cezaya çarptırıldı).