אירלנד: קנס על טוויטר בשל הפרת ה-GDPR הוגדל לדרישת רגולטורים אירופאים

רשות הגנת הפרטיות של אירלנד קיבלה במרץ 2020 החלטה מקדמית להטיל על החברה-הבת האירית של טוויטר קנס בסך של עד 300,000 אירו בעקבות השתהות קצרה במסירת הודעה על אירוע אבטחת מידע והיעדר רישום המתעד את אירוע האבטחה כנדרש ב-GDPR. אולם בשל דרישת רשויות הגנת הפרטיות של גרמניה, איטליה, אוסטריה והונגריה להגדיל את הקנס כדי שיהלום את אמות-המידה ב-GDPR למידתיות והרתעה אפקטיביים, החליט פאנל הרגולטורים האירופים לפרטיות (ה-EDPB) לחייב את הרגולטור האירי להגדיל את הקנס, שלבסוף נקבע לאחרונה ל-450,000 אירו. ההחלטה פורסמה אתמול על-ידי פאנל הרגולטורים האירופים לפרטיות.

אירוע אבטחת המידע התרחש בעקבות באג בטוויטר שגרם לכך שמשתמש טוויטר שביקש להחליף את כתובת הדוא"ל של חשבונו באמצעות הגדרות החשבון שלו, לעתים גרם לכך שציוצים שהוא פרסם רק לעוקבים שלו הפכו לפומביים לגמרי לכל גולש - ללא ידיעת המצייץ. לטוויטר נודע על הבאג בימים האחרונים של שנת 2018 לאחר שהוא דווח לה במסגרת תוכנית לעידוד איתור פגיעויות (Bug Bounty Program).

מספר המשתמשים שהושפעו מהבאג עמד על כ-88,000 לכל הפחות, אולם הפרת ה-GDPR המיוחסת לטוויטר לא טמונה בעצם הבאג או הפגיעה שגרם, אלא בעיכוב שנמשך יומיים במסירת הודעה על האירוע לרשות הגנת הפרטיות באירלנד ובהעדר רישום עליו כנדרש לפי ה-GDPR. בעוד שטוויטר (באמצעות יועציה המשפטיים) הסיקה ב-3.1.2019 כי מדובר באירוע אבטחת מידע הטעון דיווח בתוך שלושה ימים לפי ה-GDPR, החברה דיווחה לרשות האירית רק בחלוף חמישה ימים.

כמה מהרשויות האירופיות להגנת הפרטיות העלו דרישות נוספות נגד ההחלטה האירית, ובין היתר ניסו לחייב את הרשות האירית להאשים את טוויטר גם בהפרת הוראות אחרות ב-GDPR, כדוגמת הפרת החובה לאבטחה נאותה של המידע, אולם פאנל הרגולטורים האירופים לפרטיות דחה את הדרישות הללו.