JAKARTA – Perusahaan Meta wajib membayar denda Rp 1,5 triliun karena salah memfilter ratusan juta kata sandi Facebook.
Pada Jumat (27/9/2024) Komisi Perlindungan Data Irlandia (DPC) mengumumkan teguran dan denda setelah menyelesaikan penyelidikan multi-tahun terhadap pelanggaran keamanan yang dilakukan oleh perusahaan induk Facebook pada tahun 2019.
DPC membuka penyelidikan hukum atas insiden tersebut pada bulan April 2019 berdasarkan Peraturan Perlindungan Data Umum (GDPR). Hasilnya menemukan bahwa ratusan juta kata sandi pengguna disimpan dalam bentuk teks jelas di server mereka.
Insiden keamanan merupakan masalah hukum di Uni Eropa karena GDPR mengharuskan data pribadi diamankan dengan tepat.
Setelah melakukan penyelidikan, DPC menemukan bahwa Meta gagal memenuhi standar hukum pemblokiran karena kata sandinya tidak dilindungi enkripsi. Hal ini menimbulkan risiko karena pihak ketiga dapat mengakses informasi sensitif yang disimpan orang di akun media sosialnya.
Regulator yang bertugas memantau kepatuhan Meta terhadap GDPR juga menemukan bahwa Meta melanggar aturan dengan tidak memberi tahu pelanggaran tersebut dalam waktu yang ditentukan. Peraturan umumnya menyatakan bahwa pelaporan pelanggaran harus dilakukan setidaknya 72 jam setelah menyadarinya. Meta dinilai gagal mendokumentasikan pelanggaran tersebut.
“Secara umum diterima bahwa kata sandi pengguna tidak boleh disimpan dalam bentuk teks yang jelas, karena ada risiko penyalahgunaan oleh mereka yang mengakses data. “Anda harus ingat bahwa kata sandi yang menjadi perhatian dalam kasus ini sangat sensitif, karena ini akan memungkinkan akses ke akun media sosial pengguna,” kata Wakil Komisioner GDPR Graham Doyle seperti dikutip The Verge, Sabtu (28/9/2019).
Menanggapi sanksi GDPR terbaru, juru bicara Meta Matthew Pollard mengirimkan email pernyataan bahwa dia dapat meremehkan temuan tersebut. Upaya tersebut menyatakan bahwa mereka mengambil tindakan segera atas apa yang salah dalam proses pengelolaan kata sandi.
“Sebagai bagian dari tinjauan keamanan pada tahun 2019, kami menemukan bahwa beberapa kata sandi pengguna Facebook disimpan dalam format yang dapat dibaca manusia di sistem data internal kami. Kami segera mengambil tindakan untuk memperbaiki kesalahan ini, dan tidak ada bukti bahwa kata sandi tersebut benar.” Disalahgunakan atau diakses secara tidak tepat,” tulis Meta.
“Kami telah secara proaktif melaporkan masalah ini kepada regulator utama kami, Komisi Perlindungan Data Irlandia, dan telah terlibat secara konstruktif selama penyelidikan.”
Meta telah terkena denda GDPR terbesar yang diberikan kepada raksasa teknologi, sehingga sanksi terbaru ini hanya menggarisbawahi skala masalah kepatuhan privasi.
Denda tersebut lebih tinggi dari denda £17 juta yang dikenakan DPC pada Meta pada Maret 2022 karena pelanggaran keamanan pada tahun 2018. Regulator Irlandia telah melihat adanya pergantian manajemen senior sejak saat itu. Namun kedua insiden tersebut juga berbeda: pelanggaran keamanan Meta sebelumnya memengaruhi hingga 30 juta pengguna Facebook dibandingkan dengan ratusan juta pengguna yang kata sandinya terekspos karena kegagalan mengamankan kata sandi pada tahun 2019.
GDPR memberi wewenang kepada otoritas perlindungan data untuk mengeluarkan denda atas pelanggaran yang jumlah dendanya dihitung berdasarkan faktor-faktor seperti sifat, tingkat keparahan, dan durasi pelanggaran; ruang lingkup atau tujuan pemrosesan; dan jumlah subjek data yang terkena dampak dan tingkat kerusakan yang diderita, serta pertimbangan lainnya.
Denda tertinggi berdasarkan GDPR adalah 4% dari omset tahunan global. Jadi, dalam kasus Meta, denda sebesar £91 juta mungkin tampak seperti jumlah yang signifikan – namun jumlah tersebut masih merupakan sebagian kecil dari miliaran yang secara teoritis dapat dihadapi perusahaan, dengan asumsi pendapatan tahunan pada tahun 2023 adalah $134,90 miliar.
