Den irländska dataskyddsmyndigheten Data Protection Commission (“DPC”) har bötfällt Twitter International Company med 450 000 euro för brott mot artiklarna 33.1 och 33.5 i dataskyddsförordningen (“GDPR”) genom att inte anmäla eller dokumentera inträffad personuppgiftsincident till tillsynsmyndigheten.
Av beslutet framgår att Twitter, på sin sociala medieplattform, erbjuder olika integritetsinställningar för användarinlägg. Enligt integritetsinställningarna har användarna möjlighet att välja om inläggen ska visas som privata eller offentliga. Privata inlägg kan endast ses av prenumeranter på den specifika användarprofilen, medan offentliga inlägg är synliga för allmänheten. På grund av ett programmeringsfel i Twitters Android-app har vissa privata inlägg av misstag blivit synliga för allmänheten.
Efter utredning av händelsen konstaterar DPC att Twitter inte uppfyllt sina rapporterings- och dokumentationsskyldigheter då företaget inte meddelat myndigheten om incidenten inom den 72-timmarsperiod som definieras i artikel 33.1 i GDPR. Därutöver har Twitter inte dokumenterat händelsen på ett adekvat sätt i enlighet med artikel 33.5 i GDPR.