Przeprowadzone przez ICO dochodzenie wykazało, że w latach 2007-2014 Facebook niedostatecznie zabezpieczał dane swoich klientów. Problem dotyczył udostępnianych przez serwis społecznościowy aplikacji firm trzecich, które bez wyraźnej zgody instalujących je użytkowników otrzymywały dostęp do wrażliwych informacji znajdujących się na ich profilach. Co więcej, aplikacje otrzymywały również dostęp do danych zgromadzonych na profilach znajomych, którzy tych aplikacji nawet nie pobrali.
Wg brytyjskiego organu ds. ochrony danych osobowych, Facebook nie zadbał o dostateczną kontrolę udostępnianych w swoim serwisie aplikacji firm zewnętrznych, szczególnie jeżeli chodzi o dane, do których mogą one mieć dostęp. W efekcie doszło do sytuacji, gdzie jedna z nich pozyskała dane 87 milionów użytkowników, bez ich wiedzy i zgody. W grupie tej znaleźli się również obywatele Wielkiej Brytanii.
Część nielegalnie pozyskanych danych została następnie przekazana innym podmiotom, w tym SCL Group, właścicielowi Cambridge Analytica, firmy wynajętej w celu manipulowania wynikami wyborów prezydenckich w USA.
Nałożona grzywna to maksymalny wymiar kary przewidziany w takich przypadkach przez Data Protection Act z 1998 r. Jest to jednak kropla w morzu przychodów społecznościowego giganta. Szacuje się, że kara równoważna jest kwocie, jaką Facebook zarabia w 18 minut.
Gdyby wyciek nastąpił po uchwaleniu (w maju tego roku) unijnego Ogólnego Rozporządzenia o Ochronie Danych (GDPR - General Data Protection Regulation), wysokość kary przekroczyłaby prawdopodobnie miliard funtów.
Wg Elizabeth Denham, brytyjskiej Komisarz ds. Informacji w ICO, Facebook nie dołożył należytych starań, by chronić prywatności swoich użytkowników przed, w trakcie i po zaistniałym incydencie. Społecznościowy gigant powinien mieć świadomość tego, że dane jego klientów były dostępne dla podmiotów zewnętrznych, i zadbać o ich ochronę.
"Uważamy, że wyciek danych był bardzo poważny i uzasadnia maksymalny wymiar nałożonej kary. Celem jej jest wymuszenie na organizacji zmian w podejściu do ochrony danych. Zgodnie z rozporządzeniami GDPR z tego roku, grzywna byłaby znacznie wyższa." - kontynuuje Elizabeth Denham.
"Warto przypomnieć, że w ubiegłym miesiącu ICO nałożyła identyczną grzywnę na Equifax, firmę, której nieodpowiedzialne podejście do ochrony danych doprowadziło do wycieku informacji osobowych i finansowych 146 milionów klientów w USA i Europie. Ogromne kary pieniężne powinny przestrzegać firmy przed zaniechaniami związanymi z ochroną poufnych danych" komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.