Bevételeihez képest nevetséges összegű bírságot kapott a Twitter

Sok adatvédő csalódottan vette tudomásul, amikor az Ír Adatvédelmi Hatóság (DPC) 2020. december 15-én bejelentette 450.000 eurós (~162,2M Ft) bírságát a Twitter ellen a GDPR többszöri megsértéséért. Ez a döntés a DPC első komoly bírsága egy nagy tech cég ellen, holott évek óta állnak az asztalán a folyamatban levő ügyek (pl. a Facebook, WhatsApp, Google és Apple ellen). A német hatóság ez év első felében javaslatot is tett, hogy nyújtsanak segítséget a DPC-nek, mivel nyilvánvalóan nem bír el az előtte levő ügyekkel.

A Hatóság vizsgálata 2019 januárjában kezdődött, miután a Twitter tájékoztatta őket egy, a cégnél történt adatvédelmi incidensről. Akkor a DPC megállapította a GDPR 33. cikk (1) és (5) bekezdésének megsértését, mivel a Twitter nem tájékoztatta időben a Hatóságot, illetve az incidens lefolyásáról sem készített részletes dokumentációt, ahogy az a kötelessége lett volna.

Adatvédelmi incidens esetén – kivéve, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, – az adatkezelőnek kötelessége tájékoztatni az illetékes hatóságot attól számított 72 órán belül, hogy az a tudomására jutott. Ezen kívül dokumentálnia kell az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

A Twitter azonban egy munkaidő-beosztási hibára hivatkozva nem tudta az incidenst 72 órán belül bejelenteni. Később arra is fény derült, hogy a 2019-ben felderített hiba már sokkal régebb óta, akár 2014. óta a rendszerükben lehetett.

GDPR 65. cikk szerinti mechanizmus

De nem csak amiatt izgalmas ez az ügy, hogy a Twitterről van szó, és hogy a bírság mértéke sem mindennapi. Szakmai szempontból az a legérdekesebb, hogy először került alkalmazásra a GDPR 65. cikk szerinti mechanizmus.

A 65. cikk (1) bekezdés a) pontja szerint az Európai Adatvédelmi Testület kötelező erejű döntést fogad el, ha a fő felügyeleti hatóság döntéstervezetével szemben valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emel. Jelen esetben az történt, hogy a döntés több aspektusát is máshogy gondolták az érintett felügyeleti hatóságok, mint az ír, így például a bírság mértékét, illetve a Twitter által megsértett GDPR rendelkezések körét (5. cikk (1) f); 5. cikk (2); 24. cikk; 28. cikk; 32. cikk; 34. cikk).

A végső bírság végül nagyobb lett, mint az eredetileg javasolt, azonban az így is marginális a cég bevételéhez képest. A GDPR szerint maximum a szabálysértő cég előző éves globális árbevételének 4%-át lehet a bírság, mely a Twitter esetében 60 millió euró lehetett volna. A DPC először azonban csupán 130-150.000 eurót javasolt. Ezt keveselte több hatóság, köztük a NAIH is, mire a DPC a számot 450.000 euróra emelte. Bár ez több, mint a duplája az eredetileg javasolt összegnek, arányaiban ez a Twitter bevételének összesen 0,016 százaléka – ezt az összeget 1,5 óra alatt keresi meg a platform.

A döntésben a Hatóság hosszasan számol be a döntésmechanizmusáról, miközben „közepesen súlyos” incidensről beszél.

A döntés lassúsága és a kiszabott bírság alacsony mértéke miatt ismét kritikák érték az európai döntési mechanizmust. A kritikusok szerint, mint például Max Schrems és Johnny Ryan, a mostani bírság nem elrettentő a nagy tech cégek számára. Abból a szempontból is jelzésértékű lehet ez az ügy, hogy rávilágít a GDPR azon problémájára, hogy a kontinensen a Hatóságok nem ugyanolyan módon gondolkoznak a betartatásáról.

Hozzá tartozik azonban az ügyhöz, hogy az nem a túlzó adatkezelés, illetve a szokásos tech óriás “problémák” miatt került kiaszbásra, hanem csupán az incidens kezelésére vonatkozó szabályok megsértése miatt.