Na początku roku media informowały o wybuchu afery związanej z brytyjską spółką Cambridge Analytica Ltd., która prowadziła działalność w zakresie marketingu politycznego. Działania spółki daleko wykraczały jednak poza typowe czynności doradcze. Dokonywała ona głębokiej analizy osobowości i działań użytkowników Facebooka, dzięki czemu była w stanie sprofilować i kierować zachowaniami milionów użytkowników tego serwisu. W rezultacie podejrzewa się, że ich postępowanie miało skutek w odniesieniu do wyników wyborów. Poprzez odpowiednio spersonalizowaną reklamę możliwe było bowiem zmienianie lub radykalizowanie preferencji wyborczych.
Kontrola przeprowadzona przez urzędników brytyjskiego organu nadzorczego, ICO (Information Commissioner's Office), wykazała naruszenia w zakresie ochrony danych osobowych. Stwierdzono, że Facebook niewłaściwie przetwarzał dane i pozwalał na dostęp do nich twórcom aplikacji, bez uzyskania wystarczająco wyraźnej i świadomej zgody użytkowników portalu. Ponadto dane, do których dostęp mieli twórcy aplikacji, nie dotyczyły tylko jej użytkowników, ale także osób znajdujących się w kręgu ich znajomych.
Zastrzeżenia ICO wzbudziło też nieodpowiednie zabezpieczenie danych osobowych, w tym nieprowadzenie odpowiedniej kontroli aplikacji, które miały dostęp do tych danych. Ponadto Facebook już po uzyskaniu informacji o nieprawidłowościach, nie zastosował niezwłocznie środków zaradczych w celu minimalizacji skutków naruszenia. W odniesieniu do spółki-matki Cambridge Analytica Ltd., zablokowanie dostępu do danych nastąpiło dopiero w 2018 roku, tj. ponad 2 lata po wykryciu incydentu.
Podobnie jak w przypadku kary dla lotniska Heathrow (pisaliśmy o tym w poprzednim wpisie), także i karę na Facebooka nałożono na mocy brytyjskiej ustawy o ochronie danych z 1998 r., a nie RODO. Z tego względu kara w wysokości 500 tys. funtów była maksymalną. ICO nie ukrywa jednak, że gdyby naruszenia nastąpiły w trakcie obowiązywania RODO, to kara byłaby znacznie wyższa.
Źródło: ico.org.uk
