קנס של 91 מיליון אירוע על שמירת מאות מיליוני סיסמאות של משתמשים במסמך טקסט קריא, ללא הצפנה. זו הסנקציה שהטילה נציבות הגנת המידע באירלנד, לאחר חקירה שארכה חמש שנים. הנציבות מצאה שמטא הפרה את חובותיה כבעלת שליטה במידע לפי ה-GDPR, נזפה בה וקנסה אותה על כך שלא הודיעה לנציבות על האירוע בזמן, ועל כך שלא הגנה כראוי על סיסמאות משתמשיה.
במרץ 2019 הודיעה מטא לנציבות כי אחסנה בטעות סיסמאות של משתמשי פייסבוק ואינסטגרם בפורמט "טקסט פשוט" במערכותיה הפנימיות (ללא כל הגנה קריפטוגרפית או הצפנה). ה-GDPR דורש מבעלי שליטה במידע ליישם אמצעי אבטחה מתאימים עבור עיבוד מידע אישי, תוך התחשבות בגורמים כגון הסיכונים למשתמשי השירות ואופי עיבוד המידע. על מנת לשמור על אבטחה, על בעלי השליטה להעריך את הסיכונים הטמונים בעיבוד עצמו וליישם אמצעים להפחתת סיכונים אלו. בנוסף, לפי ה-GDPR, כאשר בעלי שליטה מגלים שהתרחש אירוע אבטחת מידע, עליהם להודיע זאת ללא דיחוי לרשות הגנת המידע הרלוונטית.