Hình phạt là kết quả của cuộc điều tra liên quan đến việc thu thập dữ liệu tự động của Facebook, được thực hiện từ tháng 5/2018 đến tháng 9/2019. Hoạt động thu thập này bao gồm số điện thoại, ngày sinh, địa chỉ email, địa điểm, thông tin có thể bị khai thác trong lừa đảo và các cuộc tấn công khác. Vụ việc đã khiến thông tin cá nhân của các thẩm phán, cán bộ quản giáo, nhân viên xã hội, nhà báo và những người khác bị đăng trực tuyến.

Vào thời điểm đó, Meta đổ lỗi vụ tấn công đến từ “những kẻ xấu”, tuy nhiên cơ quan quản lý quyền riêng tư (DPC)  của Ireland cho biết công ty đã không tuân thủ các nghĩa vụ quy định GDPR về “bảo vệ dữ liệu theo thiết kế và mặc định”.

Meta thừa nhận lỗ hổng đã được vá vào năm 2019, đồng thời cho biết sẽ xem xét quyết định mà DPC Ireland vừa đưa ra, tuy nhiên công ty vẫn chưa có kế hoạch kháng cáo. Phát ngôn viên của công ty khẳng định rằng việc thu thập dữ liệu trái phép là không thể chấp nhận được và trái với các quy tắc của công ty.

Meta cho biết họ đã hợp tác đầy đủ với cuộc điều tra của DPC Ireland và thực hiện các thay đổi đối với hệ thống của mình trong thời gian được đề cập, bao gồm cả việc loại bỏ khả năng cao các tính năng của nó theo cách này bằng cách sử dụng số điện thoại.

Đây là khoản tiền phạt thứ hai do DPC Ireland đưa ra đối với công ty mẹ của  Facebook chỉ trong hai tháng qua. Vào tháng 9, cơ quan này đã phạt Meta số tiền 405 triệu euro sau khi phát hiện Instagram xử lý sai thông tin cá nhân của thanh thiếu niên. Tính trong 18 tháng gần nhất, Meta đã bị phạt tổng số tiền gần 1 tỉ euro.