Twitter оштрафовано на 450 тис. євро за порушення регламенту про захист даних Євросоюзу

Комісія із захисту даних (Data Protection Commission, DPC) Ірландії оштрафувала Twitter Inc. на 450 тис. євро у зв'язку з недостатньо швидким розкриттям компанією інформації про витік даних.

Це перший штраф, накладений на американську технологічну компанію в рамках Загального регламенту про захист даних (GDPR) Євросоюзу, який набув чинності у 2018 році.

Йдеться про уразливість у системі безпеки Twitter, яка протягом більше ніж чотири роки давала змогу отримувати доступ до закритих повідомлень деяких користувачів. Компанія повідомила про усунення проблеми в січні 2019 року.

Відповідно до GDPR, компанія мала повідомити регулятора про витік даних протягом 72 годин після його виявлення. Однак розслідування, проведене DPC, показало, що топ-менеджер Twitter, який відповідав за питання захисту даних, не був своєчасно повідомлений про проблему, що призвело до затримки з розкриттям інформації регулятору.

Загалом ірландському регулятору потрібно майже два роки, щоб довести справу Twitter до кінця, пише The Wall Street Journal. У травні 2020 року, після розслідування, що тривало 15 місяців, DPC скерувала попередній висновок у справі Twitter на розгляд регуляторів інших країн ЄС, які формують Європейську раду із захисту даних (EDPB). Деякі з регуляторів висловили низку зауважень, і в серпні Ірландія запустила процедуру врегулювання спору у цій справі.

Одним зі спірних моментів був розмір штрафу, який планувалося стягнути з Twitter. GDPR дозволяє регуляторам накладати штраф у розмірі до 2% глобальної річної виручки компанії, або до $60 млн у випадку Twitter (ґрунтуючись на доході компанії за 2018 рік). Однак ірландська комісія рекомендувала суттєво нижчий штраф - від 0,25% до 5% максимальної суми, оскільки допущене Twitter порушення було незначним, ненавмисним і несистемним. Регулятор Німеччини при цьому пропонував більший штраф - від 7 до 22 млн євро, свідчать дані EDPB.

На початку листопада EDPB ухвалила фінальне рішення у цій справі, вставши на бік Ірландії з усіх питань, окрім розміру штрафу, який вона зажадала збільшити.

Остаточна сума штрафу - 450 тис. євро - приблизно на дві третини вище спочатку запропонованої ірландським регулятором суми.

Наразі DPC близька до ухвалення рішення у справі про порушення регламенту захисту даних щодо месенджера WhatsApp, і це лише одна з 14 справ, відкритих регулятором щодо Facebook і її підрозділів.