Комплаенс / Новости 15 декабря 2020

Twitter оштрафована на 450 тыс. евро за нарушение регламента о защите данных Евросоюза

Twitter Inc. оштрафована на 450 тыс. евро Комиссией по защите данных (Data Protection Commission, DPC) Ирландии в связи с недостаточно быстрым раскрытием компанией информации об утечке данных.

Это первый штраф, наложенный на американскую технологическую компанию в рамках Общего регламента о защите данных (GDPR) Евросоюза, вступившего в силу в 2018 году, напоминает "Интерфакс".

Речь идет об уязвимости в системе безопасности Twitter, которая на протяжении более четырех лет позволяла получать доступ к закрытым сообщениям некоторых пользователей. Компания сообщила об устранении проблемы в январе 2019 года.

В соответствии с GDPR, компания должна была уведомить регулятора об утечке данных в течение 72 часов после ее обнаружения. Однако расследование, проведенное DPC, показало, что топ-менеджер Twitter, отвечавший за вопросы защиты данных, не был своевременно уведомлен о проблеме, что привело к задержке с раскрытием информации регулятору.

В общей сложности ирландскому регулятору потребовалось почти два года, чтобы довести дело Twitter до конца, пишет The Wall Street Journal. В мае 2020 года, после длившегося 15 месяцев расследования, DPC направила предварительное заключение по делу Twitter на рассмотрение регуляторов остальных стран ЕС, формирующих Европейский совет по защите данных (EDPB). Некоторые из регуляторов высказали ряд замечаний, и в августе Ирландия запустила процедуру урегулирования спора по этому делу.

Одним из спорных моментов был размер штрафа, который планировалось взыскать с Twitter. GDPR позволяет регуляторам накладывать штраф в размере до 2% глобальной годовой выручки компании, или до $60 млн в случае Twitter (основываясь на доходе компании за 2018 год). Однако ирландская комиссия рекомендовала существенно более низкий штраф - от 0,25% до 5% максимальной суммы, поскольку допущенное Twitter нарушение было незначительным, непреднамеренным и несистемным. Регулятор Германии, при этом, предлагал более крупный штраф — от 7 до 22 млн евро, свидетельствуют данные EDPB.

В начале ноября EDPB вынес финальное решение по этому делу, встав на сторону Ирландии по всем вопросам, кроме размера штрафа, который он потребовал увеличить.

Окончательная сумма штрафа — 450 тыс. евро — примерно на две трети выше изначально предложенной ирландским регулятором суммы.

В настоящее время DPC близка к вынесению решения по делу о нарушении регламента защиты данных в отношении мессенджера WhatsApp, и это лишь одно из 14 дел, открытых регулятором в отношении Facebook и ее подразделений.

Теги: ШТРАФЫ