Data Protection Commission (“DPC”) har utfärdat en sanktionsavgift på 450 000 euro mot Twitter International Company för brott mot artiklarna 33.1 och 33.5 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Twitter underlåtit att anmäla en personuppgiftsincident inom 72 timmar efter att Twitter fått vetskap om incidenten till DPC. Twitter har också underlåtit att dokumentera incidenten på ett adekvat sätt. Enligt DPC har Twitter därmed agerat i strid med artiklarna 33.1 och 33.5 GDPR.
Beslutet gäller särskilt en anmälan om en personuppgiftsincident som gjordes till DPC den 8 januari 2019 efter en incident som inträffade hos ett av Twitters personuppgiftsbiträden, Twitter Inc., och som innebar att en bugg gjorde att konton för Twitteranvändare med skyddade konton, som använder Android och ändrar sin e-postadress, inte längre var skyddade. I beslutet framhöll DPC särskilt att grunden för undersökningen var att undersöka frågor kring anmälan av intrånget snarare än materiella frågor kring själva intrånget.