 |
| cover |
"Pelanggaran data ini memengaruhi sekitar 29 juta akun Facebook di seluruh dunia, yang sekitar 3 juta di antaranya berbasis di UE/EEA. Kategori data pribadi yang terpengaruh meliputi: nama lengkap pengguna; alamat email; nomor telepon; lokasi; tempat kerja; tanggal lahir; agama; jenis kelamin; kiriman di linimasa; grup tempat pengguna menjadi anggotanya; dan data pribadi anak-anak. Pelanggaran tersebut muncul dari eksploitasi token pengguna oleh pihak ketiga yang tidak berwenang di platform Facebook. Pelanggaran tersebut diperbaiki oleh MPIL dan perusahaan induknya di AS segera setelah ditemukan," keterangan DPC dalam laporan resminya, dikutip Kamis (2/1/2025).
Keputusan yang dibuat oleh Komisaris Perlindungan Data, Dr. Des Hogan dan Dale Sunderland, mencakup sejumlah teguran dan perintah untuk membayar denda administratif dengan total €251 juta. DPC menyerahkan rancangan keputusan kepada mekanisme kerja sama GDPR pada bulan September 2024, sebagaimana diwajibkan dalam Pasal 60 GDPR.
"Tidak ada keberatan yang diajukan terhadap rancangan keputusan DPC. DPC berterima kasih atas kerja sama dan bantuan dari otoritas pengawas UE/EEA lainnya dalam kasus ini," jelasnya.
Keputusan akhir DPC mencatat temuan pelanggaran GDPR sebagai berikut:
Keputusan 1.
- Pasal 33(3) GDPR - Dengan tidak menyertakan dalam pemberitahuan pelanggarannya semua informasi yang diwajibkan oleh ketentuan tersebut yang dapat dan seharusnya disertakan. DPC menegur MPIL atas kegagalannya dalam hal ketentuan ini dan memerintahkannya untuk membayar denda administratif sebesar €8 juta.
- Pasal 33(5) GDPR - Gagal mendokumentasikan fakta-fakta yang berkaitan dengan setiap pelanggaran, langkah-langkah yang diambil untuk memperbaikinya, dan melakukannya dengan cara yang memungkinkan Otoritas Pengawas untuk memverifikasi kepatuhan. DPC menegur MPIL atas kegagalannya dalam hal ketentuan ini dan memerintahkannya untuk membayar denda administratif sebesar €3 juta.
Keputusan 2.
- Pasal 25(1) GDPR - Dengan tidak memastikan bahwa prinsip perlindungan data dilindungi dalam desain sistem pemrosesan. DPC menemukan bahwa MPIL telah melanggar ketentuan ini, menegur MPIL, dan memerintahkannya untuk membayar denda administratif sebesar €130 juta.
- Pasal 25(2) - Gagalnya MPIL dalam menjalankan kewajibannya sebagai pengawas untuk memastikan bahwa, secara default, hanya data pribadi yang diperlukan untuk tujuan tertentu yang diproses. DPC menemukan bahwa MPIL telah melanggar ketentuan ini, menegur MPIL, dan memerintahkannya untuk membayar denda administratif sebesar €110 juta.
Wakil Komisaris DPC Graham Doyle menyoroti bagaimana kegagalan untuk membangun persyaratan perlindungan data di seluruh siklus desain dan pengembangan dapat membuat individu menghadapi risiko dan kerugian yang sangat serius.
"Tindakan penegakan hukum ini menyoroti bagaimana kegagalan untuk membangun persyaratan perlindungan data di seluruh siklus desain dan pengembangan dapat membuat individu menghadapi risiko dan kerugian yang sangat serius, termasuk risiko terhadap hak-hak dasar dan kebebasan individu," jelasnya.
Selain itu, dengan mengizinkan pengungkapan informasi profil yang tidak sah, kerentanan di balik pelanggaran ini menyebabkan risiko penyalahgunaan jenis data ini yang serius.
"Profil Facebook dapat, dan sering kali, berisi informasi tentang hal-hal seperti keyakinan agama atau politik, kehidupan atau orientasi seksual, dan hal-hal serupa yang mungkin ingin diungkapkan pengguna hanya dalam keadaan tertentu. Dengan mengizinkan pengungkapan informasi profil yang tidak sah, kerentanan di balik pelanggaran ini menyebabkan risiko penyalahgunaan jenis data ini yang serius," ungkapnya.
