Nuacht

Gearrann Coimisiún na hÉireann um Chosaint Sonraí fíneáil €91 mhilliún ar Meta Ireland

27th Mí Meán Fomhair 2024

Inniu, d’fhógair an Coimisiún um Chosaint Sonraí (an Coimisiún) an cinneadh críochnaitheach uaidh tar éis fiosrúchán ar Meta Platforms Ireland Limited (MPIL). Seoladh an fiosrúchán sin i mí Aibreáin 2019, tar éis do MPIL fógra a thabhairt don Choimisiún gur stóráil sé gan chuimhneamh pasfhocail áirithe úsáideoirí meán sóisialta i ‘ngnáth-théacs’ ar a chórais inmheánacha (i.e., gan cosaint chripteagrafach ná criptiú cripteagrafach).

Chuir an Coimisiún dréachtchinneadh faoi bhráid na nÚdarás Maoirseachta eile lena mBaineann ar fud an Aontais Eorpaigh/an Limistéir Eorpaigh Eacnamaíoch i mí an Mheithimh 2024, mar a cheanglaítear faoi Airteagal 60 den Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS). Ní dhearna na húdaráis eile aon agóidí in aghaidh an dréachtchinnidh.

Áirítear iomardú agus fíneáil €91 mhilliún leis an gcinneadh, rud a rinne an Dr Des Hogan agus Dale Sunderland, na Coimisinéirí um Chosaint Sonraí, agus ar tugadh fógra do MPIL faoi inné an 26 Meán Fómhair.

Taifeadtar sa chinneadh ón gCoimisiún go ndearnadh na sáruithe seo a leanas ar RGCS:

  • Airteagal 33(1) RGCS, toisc gur mhainnigh MPIL fógra a thabhairt don Choimisiún faoi shárú sonraí pearsanta a bhaineann le pasfhocail úsáideoirí a stóráil i ngnáth-théacs;
  • Airteagal 33(5) RGCS, toisc gur mhainnigh MPIL doiciméadú a dhéanamh ar sháruithe sonraí pearsanta a bhaineann le pasfhocail úsáideoirí a stóráil i ngnáth-théacs;
  • Airteagal 5(1)(f) RGCS, toisc nár úsáid MPIL bearta iomchuí teicniúla nó eagraíochtúla chun slándáil iomchuí pasfhocal úsáideoirí a chinntiú in aghaidh próiseáil neamhúdaraithe; agus
  • Airteagal 32(1) RGCS, toisc nár chuir MPIL bearta iomchuí teicniúla agus eagraíochtúla chun feidhme chun leibhéal slándála a bhí oiriúnach don riosca a chinntiú, lenar áiríodh an cumas chun rúndacht leanúnach pasfhocal úsáideoirí a chinntiú.

Dúirt Graham Doyle, Leas-Choimisinéir ag an gCoimisiún, “Glactar go forleathan leis nár cheart pasfhocail úsáideoirí a stóráil i ngnáth-théacs, mar gheall ar an mbaol mí-úsáide a bhaineann le daoine a bheith ag fáil rochtain ar shonraí den sórt sin. Ní mór a chuimhneamh gurb an-íogair atá na pasfhocail is ábhar don chás seo, toisc go gcumasódh siad do dhaoine rochtain a fháil ar chuntais meán sóisialta úsáideoirí.”

Foilseoidh an Coimisiún an Cinneadh iomlán agus faisnéis ghaolmhar eile in am trátha.

Cúlra

I mí an Mhárta 2019, thug MPIL fógra don Choimisiún um Chosaint Sonraí gur stóráil sé gan chuimhneamh pasfhocail áirithe úsáideoirí meán sóisialta i ‘ngnáth-théacs’ ar a chórais inmheánacha (i.e., gan cosaint chripteagrafach ná criptiú cripteagrafach). D’fhoilsigh MPIL faisnéis faoin teagmhas sin i mí an Mhárta 2019 freisin[1]. Níor cuireadh na pasfhocail sin ar fáil do pháirtithe seachtracha.

Bhain raon feidhme an Fhiosrúcháin, a tosaíodh i mí Aibreáin 2019, le measúnú a dhéanamh ar a mhéid a bhí an Rialachán Ginearálta maidir le Cosaint Sonraí (“RGCS”) á chomhlíonadh ag MPIL, go háirithe cé acu a chuir nó nár chuir MPIL bearta chun feidhme chun leibhéal slándála a chinntiú a bhí oiriúnach do na rioscaí a bhaineann le pasfhocail a phróiseáil, agus cé acu a chomhlíon nó nár chomhlíon MPIL na hoibleagáidí atá air sáruithe sonraí pearsanta a dhoiciméadú agus fógra a thabhairt don Choimisiún fúthu.

Is le prionsabail ionracais agus rúndachta RGCS a bhaineann an cinneadh seo ón gCoimisiún. Ceanglaítear le RGCS ar rialaitheoirí sonraí bearta iomchuí slándála a chur chun feidhme nuair a bhíonn sonraí pearsanta á bpróiseáil acu, agus aird á tabhairt ar thosca amhail na rioscaí d’úsáideoirí seirbhíse agus ar chineál na próiseála sonraí. Ar mhaithe le slándáil a chothabháil, ba cheart do rialaitheoirí sonraí meastóireacht a dhéanamh ar na rioscaí a bhaineann go bunúsach leis an bpróiseáil agus bearta a chur chun feidhme chun na rioscaí sin a mhaolú. Leis an gcinneadh seo, leagtar béim ar an ngá atá ann le bearta den sórt sin a dhéanamh agus pasfhocail úsáideoirí á stóráil.

Ceanglaítear le RGCS ar rialaitheoirí sonraí freisin sáruithe sonraí pearsanta a dhoiciméadú go cuí agus fógra a thabhairt d’údaráis chosanta sonraí faoi aon sáruithe a tharlaíonn. D’fhéadfadh aon mhainneachtain aghaidh a thabhairt go hiomchuí tráthúil ar shárú sonraí pearsanta damáiste a dhéanamh, amhail rialú a chailleadh ar shonraí pearsanta. Dá bhrí sin, nuair a thagann rialaitheoir ar an eolas gur tharla sárú sonraí pearsanta, ba cheart don rialaitheoir fógra a thabhairt don údarás maoirseachta faoi sin gan moill mhíchuí, ar an modh a fhorordaítear le hAirteagal 33 RGCS.

Tá na cumhachtaí ceartaitheacha seo a leanas sa chinneadh:

  1. Iomardú de bhun Airteagal 58(2)(b) RGCS; agus
  2. Fíneálacha riaracháin dar luach iomlán €91 mhilliún de bhun Airteagail 58(2)(i) agus 83 RGCS.

Rialaítear le hAirteagal 60 RGCS an nós imeachta comhair idir an Príomhúdarás Maoirseachta agus na hÚdaráis Mhaoirseachta eile lena mBaineann.

[1]Ar fáil ag https://about.fb.com/news/2019/03/keeping-passwords-secure/