Acmhainní

Fiosrúcháin ar Meta Platforms Ireland Limited (Sárú Airíochtaí) – Nollaig 2024

(IN-18-10-1 agus IN-18-11-1)

Dáta na gCinntí: 12 Nollaig 2024

An 12 Nollaig 2024, ghlac Coimisiún na hÉireann um Chosaint Sonraí (‘an Coimisiún’) cinntí críochnaitheacha in dhá fhiosrúchán reachtúla dá dheoin féin lena dtugtar iomardú do Meta Platforms Ireland Limited (‘MPIL’) agus lena bhforchuirtear fíneálacha riaracháin. D’oscail an Coimisiún na fiosrúcháin mar fhreagairt do shárú sonraí pearsanta a thuairiscigh MPIL (ar ar tugadh Facebook Ireland Ltd ag an am) i mí Mheán Fómhair 2018. Rinneadh an fiosrúchán de réir an Achta um Chosaint Sonraí, 2018, agus Airteagal 60 den Rialachán Ginearálta ón Aontas Eorpach maidir le Cosaint Sonraí (‘RGCS’).

Breithníodh sna cinntí gnéithe den cheart bunúsach maidir le cosaint sonraí faoi Airteagal 8 de Chairt um Chearta Bunúsacha an Aontais Eorpaigh, mar a thugtar éifeacht dóibh le RGCS, lena n-áirítear an oibleagáid atá ar an rialaitheoir sáruithe a thuairisciú agus taifid a choinneáil ar sháruithe agus bearta a chur chun feidhme chun sonraí pearsanta a chosaint trí dhearadh agus mar réamhshocrú araon.

Cúlra na bhFiosrúchán

Tháinig an sárú as an dóigh ar úsáid MPIL airíochtaí úsáideora i ndáil le gnéithe áirithe ar ardán Facebook. Is é is airíochtaí úsáideora ann ná aitheantóirí códaithe is féidir a úsáid chun úsáideoir ardáin nó fóntais a fhíorú agus chun rochtain ar ghnéithe áirithe den ardán agus ar shonraí pearsanta an úsáideora agus a theagmhálaithe a rialú. Thug MPIL gné nua uaslódála físeáin isteach sa bhliain 2017. Nuair a úsáideadh an ghné sin i gcomhar leis an ngné ‘View As’ a bhí ag Facebook (lenar cumasaíodh leathanach úsáideora a fheiceáil mar a d’fheicfeadh úsáideoir eile é) agus leis an ngné ‘Happy Birthday Composer’, ghinfeadh an t-uaslódálaí físeáin airíocht úsáideora a bhí ceadaithe go hiomlán, rud lenar tugadh rochtain iomlán ar an bpróifíl a bhí ag an úsáideoir eile sin ar Facebook. D’fhéadfaí an airíocht sin a úsáid ansin chun an teaglaim chéanna gnéithe a dhúshaothrú ar chuntais eile, rud lenar tugadh rochtain ar phróifílí roinnt úsáideoirí agus ar na sonraí a bhí inrochtana tríothu. Idir an 14 Meán Fómhair agus an 28 Meán Fómhair 2018, bhain daoine neamhúdaraithe úsáid as scripteanna chun an leochaileacht sin a dhúshaothrú agus fuair siad rochtain ar thart ar 29 milliún cuntas Facebook ar domhan, dá raibh thart ar thrí mhilliún cuntas lonnaithe san Aontas Eorpach/sa Limistéar Eorpach Eacnamaíoch. Cuireadh pearsana slándála Facebook ar a n-airdeall faoin leochaileacht trí mhéadú aimhrialta sa ghníomhaíocht uaslódála físeáin agus bhain siad tamaillín ina dhiaidh sin an fheidhmiúlacht ba chúis leis an leochaileacht. Thug MPIL fógra don Choimisiún faoin sárú an 28 Meán Fómhair 2018.

Thosaigh an Coimisiún fiosrúcháin chun imscrúdú a dhéanamh ar a mhéid a bhí gnéithe de RGCS á gcomhlíonadh.

Achoimre ar Chinntí: IN-18-10-1

 Uimhir

 Airteagal de RGCS

 Cinntí

 1

Airteagal 33(3)

Agus fógra á thabhairt aige faoin sárú, níor thug MPIL aon fhaisnéis a d’fhéadfadh sé, agus ba cheart dó, a chur ar áireamh san fhógra. Áiríodh leis an bhfaisnéis sin faisnéis faoi chineál an tsáraithe, faoi na catagóirí ábhar sonraí a ndearna an sárú difear dóibh, faoi na catagóirí taifead sonraí pearsanta a ndearna an sárú difear dóibh agus faoi iarmhairtí dóchúla an tsáraithe.

 2

Airteagal 33(5)

Mhainnigh MPIL taifead doiciméadach comhaimseartha a chruthú ar na fíorais a bhaineann leis an sárú.

 

Achoimre ar Chinntí: IN-18-11-1

Líon

Airteagal de RGCS

Cinntí

1

Airteagal 25(1)

Mhainnigh MPIL bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun a chinntiú go mbeadh an phróiseáil slán ar ionsaí agus go seasfadh an phróiseáil le prionsabail na sláine agus na rúndachta. Ar leithligh ó na leochaileachtaí ab inchurtha go sonrach i leith na n-airíochtaí, mhainnigh MPIL bearta malartacha níos cuí a úsáid chun a chinntiú go gcomhlíonfadh an phróiseáil, trí dhearadh, na caighdeáin riachtanacha um chosaint sonraí.

2

Airteagal 25(2)

I gcomhthéacs na próiseála ar lena haghaidh a imscaradh iad, ba é an toradh a bhí ar na hairíochtaí ar imscar MPIL iad ná rochtain leathan gan ghá a thabhairt ar shonraí pearsanta úsáideoirí Facebook. Mar thoradh ar an mainneachtain sin a chinntiú nach bpróiseálfaí ach sonraí pearsanta a bhí riachtanach le haghaidh chríoch shonrach na próiseála, sáraíodh an prionsabal um chosaint sonraí mar réamhshocrú.

 

Bearta Ceartaitheacha

I gcás go ndéanann an Coimisiún cinneadh faoi alt 111(1)(a) den Acht um Chosaint Sonraí, 2018, ní mór dó freisin cinneadh a dhéanamh faoi alt 111(2) maidir le cé acu ba cheart nó nár cheart cumhacht cheartaitheach a fheidhmiú i ndáil leis an rialaitheoir nó leis an bpróiseálaí lena mbaineann agus, dá mba cheart, ní mór dó cinneadh a dhéanamh ar an gcumhacht cheartaitheach atá le feidhmiú.

Tar éis dó na sáruithe ar RGCS atá leagtha amach thuas a bhreithniú, chinn an Coimisiún na cumhachtaí ceartaitheacha seo a leanas a fheidhmiú de réir Airteagal 58(2) RGCS:

  • iomardú, de bhun Airteagal 58(2)(b) RGCS, maidir leis na sáruithe atá sainaitheanta sa Chinneadh; agus
  • fíneálacha riaracháin dar luach iomlán €251 mhilliún, mar a leanas:
    1. Fíneáil €8 milliún maidir le sárú MPIL ar Airteagal 33(3) RGCS.
    2. Fíneáil €3 mhilliún maidir le sárú MPIL ar Airteagal 33(5) RGCS.
    3. Fíneáil €130 milliún maidir le sárú MPIL ar Airteagal 25(1) RGCS.
    4. Fíneáil €110 milliún maidir le sárú MPIL ar Airteagal 25(2) RGCS

Is é cuspóir an iomardaithe ná cineál tromchúiseach na sáruithe a aithint go foirmiúil chun neamhchomhlíonadh den chineál céanna a chosc sa todhchaí i measc MPIL agus rialaitheoirí nó próiseálaithe eile a dhéanann oibríochtaí próiseála den chineál céanna. Ba le sonraí pearsanta de chuid na milliún daoine d’úsáideoirí Facebook a bhain na sáruithe. Ina theannta sin, chinn an Coimisiún gur rannchuidigh an dá shárú leis an riosca go ndéanfaí calaois ar na hábhair sonraí, lenar áiríodh leanaí agus daoine soghonta eile, go ngoidfí a gcéannacht agus go seolfaí turscar chucu.

Agus é ag cinneadh fíneálacha riaracháin dar luach iomlán €251 mhilliún a fhorchur, thug an Coimisiún aird chuí ar na tosca atá leagtha amach in Airteagal 83(2) RGCS. Mheas an Coimisiún freisin gur chomhlíon na fíneálacha riaracháin na ceanglais atá in Airteagal 83(1) RGCS á rá go mbeadh fíneálacha éifeachtach, comhréireach agus athchomhairleach.

Sular ghlac sé na Cinntí, chuir an Coimisiún dréachtaí díobh faoi bhráid na n-údarás Eorpach eile maoirseachta cosanta sonraí (‘Údaráis Mhaoirseachta lena mBaineann’) i mí Mheán Fómhair 2024, mar a cheanglaítear le hAirteagal 60(3) RGCS. Níor tharraing na hÚdaráis Mhaoirseachta lena mBaineann aon agóidí anuas faoi Airteagal 60(4) RGCS in aghaidh na ndréachtchinntí. Fuarthas trí bharúil ó Údaráis Mhaoirseachta lena mBaineann maidir le gach ceann de na dréachtchinntí. Thug an Coimisiún aird chuí ar na barúlacha sin, agus ar aighneachtaí deiridh ó MPIL, agus na Cinntí á dtabhairt i gcrích aige lena nglacadh.

 

Tá an cinneadh iomlán IN-18-10-1 ar fáil anois le híoslódáil (36MB, PDF).

Tá an cinneadh iomlán IN-18-11-1 ar fáil anois le híoslódáil (36MB, PDF).