Den irländska dataskyddsmyndigheten Data Protection Commission (“DPC”) har bötfällt Twitter International Company med 450 000 euro för brott mot artiklarna 33.1 och 33.5 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Twitter underlåtit att anmäla en personuppgiftsincident inom 72 timmar efter att Twitter fått vetskap om incidenten till DPC. Twitter har också underlåtit att dokumentera incidenten på ett adekvat sätt. Enligt DPC har Twitter därmed agerat i strid med artiklarna 33.1 och 33.5 GDPR.
Beslutet gäller särskilt en anmälan om en personuppgiftsincident som gjordes till DPC den 8 januari 2019 efter en incident som inträffade hos ett av Twitters personuppgiftsbiträden, Twitter Inc., och som innebar att en bugg gjorde att konton för Twitteranvändare med skyddade konton, som använder Android och ändrar sin e-postadress, inte längre var skyddade. I beslutet framhöll DPC särskilt att grunden för undersökningen var att undersöka frågor kring anmälan av intrånget snarare än materiella frågor kring själva intrånget.