Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 450 000 euro mot Twitter International Company för brott mot artiklarna 33.1 och 33.5 i dataskyddsförordningen (GDPR) genom att inte anmäla eller dokumentera inträffad personuppgiftsincident till tillsynsmyndigheten.
Av beslutet framgår att Twitter, på sin sociala medieplattform, erbjuder olika integritetsinställningar för användarinlägg. Enligt integritetsinställningarna har användarna möjlighet att välja om inläggen ska visas som privata eller offentliga. Privata inlägg kan endast ses av prenumeranter på den specifika användarprofilen, medan offentliga inlägg är synliga för allmänheten. På grund av ett programmeringsfel i Twitters Android-app har vissa privata inlägg av misstag blivit synliga för allmänheten.
Efter utredning av händelsen konstaterar DPC att Twitter inte uppfyllt sina rapporterings- och dokumentationsskyldigheter då företaget inte meddelat myndigheten om incidenten inom den 72-timmarsperiod som definieras i artikel 33.1 i GDPR. Därutöver har Twitter inte dokumenterat händelsen på ett adekvat sätt i enlighet med artikel 33.5 i GDPR.