Twitter因爱尔兰第一项重大GDPR决定的数据泄露而被罚款约55万美元

2020-12-15 19:22:25

这项决定值得关注,因为这是爱尔兰监管机构的第一项跨境GDPR决策,爱尔兰监管机构是许多科技巨头的欧盟首席隐私监管机构–目前积压的案件数量超过20余起,其中包括对Facebook,WhatsApp,Google,Apple和LinkedIn,仅举几例。

“在收到Twitter的违规通知后,DPC的调查于2019年1月开始,并且DPC发现Twitter在未能及时通知违规行为方面违反了GDPR第33(1)和33(5)条。 DPC以及未能充分记录违规行为。 DPC已对Twitter处以45万欧元的行政罚款,这是一项有效,相称且具有劝阻性的措施,”监管机构在新闻稿中写道。

GDPR要求在控制者意识到违规行为后的72小时内,将大多数违反个人数据的行为通知相关监管机构。

该法规还要求他们记录涉及的数据以及对安全事件的响应方式,以便相关数据主管可以检查其合规性。

我们已与社交媒体公司联系,征询他们的意见,包括询问其是否计划接受该决定并付款-还是考虑其法律选择。

更新:Twitter现在已发送此声明,归因于其首席隐私官兼全球数据保护官Damien Kieran:

Twitter与爱尔兰数据保护委员会(IDPC)密切合作以支持他们的调查。我们对在线安全和隐私有着共同的承诺,我们尊重IDPC的决定,该决定与事件响应流程失败有关。在2018年圣诞节和元旦之间出现人员配备的意外后果,导致Twitter在72小时法定通知期之外通知IDPC。我们已进行了更改,以便将所有此后的事件及时报告给DPC。

我们对此错误负责,并始终致力于保护客户的隐私和数据,包括通过我们的工作来迅速透明地将发生的问题告知公众。我们赞赏此决定为公司和消费者带来了GDPR违规通知要求的清晰性。我们对这些事件的处理将仍然是透明和公开的一种。

该公司还告诉我们,自从这一具体事件以来,由于2018年假期期间人员不足导致报告违规行为的时间有所延迟,因此该公司已在规定的72小时内向DPC报告了所有相关事件。

DPC的决定与Twitter在2019年1月公开披露的一项违规行为有关-该违规行为表示Twitter的“保护您的推文”功能中的错误可能意味着某些应用该设置以使其推文为非公开的Android用户可能已经他们的数据最早可以追溯到2014年。(尽管GPDR仅适用于自2018年5月以来暴露的错误的数据。)

自从“保护您的推文”错误以来,Twitter在涉及安全方面的面目全非-包括今年早些时候遭受高额帐户劫持的事件,此前散布加密骗局的黑客利用社会工程技术。

同时,爱尔兰的DPC在决定重大GDPR跨境重大案件的决策上所花费的时间仍然持续受到批评,因为在这些案件中,对个人权利的影响可能会扩大到数亿欧洲互联网用户。

去年,专员海伦·迪克森(Helen Dixon)表示,首个GDPR重大决定将在2020年“提前”做出。

如果第一项跨境决策已在年底之前跨过了界限,则突显了该集团在有效实施针对科技巨头的数字化规则手册方面所面临的挑战。 (尽管平台巨头迄今为止几乎没有遇到宝贵的执法行动,但GDPR从2018年5月开始在技术上开始应用。)

在此特定情况下,在爱尔兰于5月份提交给其他欧盟DPA进行审查的结果草案没有被所有人接受之后,在决策时间表中又增加了大约半年的时间,从而触发了GDPR的多数表决机制解决集团的数据主管之间的分歧。

欧洲数据保护委员会已在其网站上发布了该第65条决定和完整的最终决定。

Twitter案目前(现在)的最终结果是在关键时刻发布的-欧盟立法者将于今天晚些时候制定其下一个主要数字政策,这是雄心勃勃地推动通过实现令人放心的承诺数字化区域数字化的一部分。欧洲护栏环绕着所有这项技术。

然而,随着GDPR执法工作的完成,这是一个乏味且充满摩擦的过程,有可能使新生的《数字服务法案》和《数字市场法案》在成为欧盟法律之前数月(甚至数年)大放异彩,从而引发了人们对整个战略实施方式的质疑可以预期在没有有效(即公平但快速)执行的情况下起作用。

更大的风险是欧洲公民对他们所享有的基于权利的框架失去信心,这是根据欧盟法律和欧盟监管框架的拼凑而成的,如果人们在尝试时发现这种动物真是令人目结舌的家猫获得救济。

因此,欧盟委员会要求扩大数字规则的战略将成为公众信任的助推器,有可能在立法提案阶段陷入幻灭的泥潭。

简而言之:您不能让监管机构采取如此缓慢的行动,并期望您的规则手册能够触及那些要迅速采取行动的技术巨头,以符合其自身业务的利益破坏法治。

因此,DPC在Twitter案中的决定是一种措施,用以衡量围绕欧盟“强大”数字规则的言辞激烈的欧盟政策制定者之间的差距有多大,以及更加混乱,更加步履蹒跚的现实:自Twitter宣布违规并等待近两年以来让锤子落在相对简单的情况下。

毕竟,数据泄露并不是对Facebook商业模式与GDPR合法性的调查,也不是对Google adtech的复杂性的深入研究-两者仍然是DPC桌面上的未决案件文件。

罚款本身也只是Twitter 2019年全年收入的一小部分(略高于0.1%);与GDPR所允许的最高全球年度营业额的4%(或违约案件中涉及的特定侵权行为的最高2%)相去甚远。

爱尔兰计算的罚款额是其他欧盟DPA在决定草案争议期间提出的反对意见之一– DPC最初提出的罚款额甚至更低(在Twitter年营业额的0.005%至0.01%范围内;或介于13.5万欧元至27.5万欧元之间)。第65条的干预迫使爱尔兰增加了刑罚的规模(尽管幅度不大)。

Twitter的最高罚款为60百万美元。 DPC提议处以150-300美元的罚款。但是其他执法者则拒绝。 @EU_EDPB做出具有约束力的决定:DPC必须设定更高的罚款,以阻止Twitter将来遭受违反。 DPC略有增长450百万欧元。就上下文而言,德国人想要7-22百万美元。 pic.twitter.com/Q4AraN0pdI

欧盟DPA也不同意Twitter的爱尔兰业务与其美国实体的控制者/处理者地位-爱尔兰接受Twitter Ireland作为数据控制者,并接受Twitter Inc作为处理者,这一称呼似乎旨在减少其责任。

因此,在2020年末,对于GDPR的第一个跨境决策似乎更具里程碑意义。

尽管委员们在夏季建议,GDPR实施问题的最佳解决方案是爱尔兰做出决定,但委员们在这里没有什么可庆祝的。 现在的问题是,欧盟在数字执法方面的记录被顽固地刻上了黑标,就像委员会正在制定一项计划以全面参与平台监管一样。 该报告已更新,其中包含Twitter的评论以及第65条决定中有关争议的更多详细信息