„Je všeobecně přijímáno, že uživatelská hesla by se neměla uchovávat v prostém textu, a to s ohledem na rizika zneužití, která vznikají v důsledku přístupu osob k těmto údajům,“ komentoval důvody rozhodnutí zástupce komisaře pro ochranu osobních údajů Graham Doyle.
Je podle něj navíc třeba mít na paměti, že posuzovaná hesla jsou obzvláště citlivá, protože by umožňovala přístup k účtům uživatelů na sociálních sítích.
Irský úřad tak došel k závěru, že Meta porušila hned několik článků evropského Obecného nařízení o ochraně osobních údajů (GDPR). Mimo jiné tím, že neprovedla vhodná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající riziku, včetně schopnosti zajistit trvalou důvěrnost uživatelských hesel.
Vyšetřování začalo před pěti lety. Společnost Meta tehdy úřadu DPC oznámila, že některá hesla ukládá v prostém textu. Meta incident veřejně přiznala a DPC uvedl, že se k heslům žádné třetí strany nedostaly.
Irský regulátor má v EU Metu na starosti, podobně jako řadu dalších amerických firem. Meta a některé další globálně působící firmy totiž mají své evropské sídlo právě v Irsku.