Pokuta pro Twitter za porušení GDPR

...a řešení sporů Evropským sborem pro ochranu osobních údajů. V prosinci byla společnosti Twitter uložena pokuta ve výši 450 000 EUR za porušení povinností vyplývajících z GDPR.

Weinhold Legal, s.r.o., advokátní kancelář
Weinhold Legal, s.r.o. advokátní kancelář
GDPR, ochrana osobních údajů
Foto: Fotolia

Společnosti Twitter International Company se sídlem v Dublinu, v Irsku byla 9. prosince 2020 uložena pokuta ve výši 450 000 EUR za porušení povinností vyplývajících z GDPR. Jedná se o první případ, kdy došlo k použití článku 65 GDPR týkajícího se řešení sporů Evropským sborem pro ochranu osobních údajů. Zároveň jde o první rozhodnutí v případě „big tech“ společnosti, kdy byly konzultovány evropské dozorové úřady jako dotčené dozorové úřady, což je mechanismus k zajištění jednotného uplatňování GDPR v celé EU.

V tomto případě vystupovala společnost Twitter International Company se sídlem v irském Dublinu (dále jen „Twitter“) jako správce osobních údajů a americký Twitter Inc. jako zpracovatel osobních údajů. Předmětné porušení se týkalo článku 33 nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“), který upravuje ohlašovací povinnost správce osobních údajů v případě porušení jejich zabezpečení. Konkrétně došlo k porušení odst. 1, který zavádí povinnost správce osobních údajů nejpozději do 72 hodin od chvíle, kdy se o porušení zabezpečení dozvěděl, takové porušení ohlásit příslušnému dozorovému úřadu, a dále odst. 5, který zavádí povinnost správce náležitě dokumentovat tato porušení s uvedením skutečností, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření za účelem umožnění kontroly dodržování GDPR dozorovému úřadu. 

Porušení zabezpečení

Samotné porušení zabezpečení spočívalo v tom, že v případech, kdy si uživatelé Twitteru dodatečně změnili e-mailovou adresu propojenou s jejich účtem na Twitteru, nebyly jejich tweety v důsledku technické chyby ve skutečnosti nijak chráněny, a byly tak dostupné široké veřejnosti, a ne pouze jejich followerům, jak se uživatelé domnívali. Technická chyba byla zjištěna externím spolupracovníkem 26. prosince 2018.

Pochybení zjištěná irským Úřadem komisaře pro ochranu osobních údajů (Irish Data Protection Commission, dále jen „IDPC“) byla porušením čl. 33 odst. 1 a 5 GDPR, když Twitter neoznámil porušení IDPC v předepsané lhůtě 72 hodin a tato porušení dostatečně nezdokumentoval. Podle Twitteru zpoždění při oznámení porušení IDPC v požadovaném časovém rámci vyplynulo z toho, že zpracovatel osobních údajů, tedy americký Twitter, Inc., neoznámil pověřenci pro ochranu osobních údajů irské společnosti Twitter možné porušení zabezpečení, jakmile se o něm dozvěděl. IDPC toto přičetl k tíži správce osobních údajů s argumentem, že je právě odpovědností správce zajistit, aby měl zaveden efektivní proces umožňující zpracovatelům informovat správce o narušení zabezpečení osobních údajů, a že pokud k tomu nedojde a má to za následek opožděné oznámení dozorovému úřadu, má se za to, že správce má tak prostřednictvím svého zpracovatele nepřímou znalost o porušení. Toto zjištění znovu zdůrazňuje důležitost efektivní spolupráce správce a zpracovatele v případě takových porušení zabezpečení, která vedou k potenciálním ohlašovacím či oznamovacím povinnostem.

Společnost Twitter toto porušení zabezpečení ohlásila IDPC 8. ledna 2019 a dopad na subjekty údajů označila za významný, přičemž v této zprávě mimo jiné uvedla, že informaci o této chybě zabezpečení získala od externího spolupracovníka dne 26. prosince 2018, avšak až 3. ledna 2019 zjistila závažnost celého incidentu zakládající ohlašovací povinnost. Společnost Twitter pak z následné interní kontroly zjistila, že tato chyba měla původ v softwarových změnách provedených již dne 4. listopadu 2014, přičemž zcela byla tato chyba odstraněna až 14. ledna 2019. Z důvodu pravidel týkajících se uchovávaní tzv. logů uživatelů bylo možné identifikovat uživatele od 5. září 2017. Toto porušení zabezpečení se dle vyjádření společnosti dotklo v období od 5. září 2017 do 11. ledna 2019 celkem 88 726 uživatelů z různých zemí Evropského hospodářského prostoru, ale vzhledem k tomu, že softwarové změny byly provedeny již v listopadu 2014, mohlo být dotčeno i více uživatelů.

Šetření vedoucího dozorového úřadu

Samotné šetření bylo IDPC zahájeno dne 22. ledna 2019, tedy dva týdny po oznámení. Šetření bylo vedeno irským úřadem, neboť ten vyhodnotil v tomto případě přeshraničního zpracování osobních údajů, že je vedoucím dozorovým úřadem, a to s ohledem na čl. 56 GDPR, který jako kritérium příslušnosti stanoví umístění hlavní, resp. jediné provozovny správce či zpracovatele a též s ohledem na dřívější oznámení Twitteru, že je irskou společností, je správcem osobních údajů v kontextu služeb Twitteru poskytovaných v EU a s odvoláním na samotné ohlášení porušení zabezpečení, kde Twitter sám sebe označuje za správce osobních údajů dotčených porušením zabezpečení. 

V souladu s článkem 60 a násl. GDPR IDPC spolupracoval s ostatními dotčenými dozorovými úřady. V květnu 2020 jim předložil návrh rozhodnutí, aby se k němu vyjádřily. Dotčené úřady vznesly celou řadu námitek. Například dozorové úřady Rakouska, Itálie a Německa se kromě jiného ohradily proti navrhované sankci, jenž nebyla dostatečně odrazující (sankce navrhovaná IDPC měla být stanovena v rozmezí 135 000 EUR – 275 000 EUR). V důsledku toho, že IDPC námitky podané dozorovými úřady nezohlednil, nebo je zamítnul z důvodu irelevance nebo nedůvodnosti, došlo k aktivaci článku 65 GDPR a k postoupení případu Evropskému sboru pro ochranu osobních údajů (dále jen „Sbor“) k rozhodnutí. Jde o první případ, kdy došlo k řešení sporu Sborem.

Sbor vyhodnotil všechny námitky vznesené dozorovými úřady (např. odpovědnost správce dle článku 24 GDPR, poskytnutí dostatečných záruk zpracovatelem dle článku 28 GDPR, zabezpečení zpracování dle článku 32 GDPR apod.) a zaujal stanovisko i k posouzení jejich relevantnosti a odůvodněnosti dle článku 4 odst. 24 GDPR.

Sbor ve svých zjištěních zdůraznil, že postup řešení sporů Sborem se používá jako metoda zajišťující spolupráci a jednotnost mezi členskými státy, a rovněž konkrétně poukázal na povinnost vedoucího dozorového úřadu podle článku 60 GDPR spolupracovat s ostatními dotčenými dozorovými úřady. Princip jednotného kontaktního místa (tzv. one-stop-shop) neznamená, že ostatní dozorové úřady nebudou hrát důležitou roli jak v rozsahu šetření, zjištění, tak i ve výsledných sankcích.

Sbor vydal své závazné rozhodnutí 9. listopadu 2020. Rozhodnutí je závazné jak pro vedoucí dozorový úřad, tak i pro dotčené dozorové úřady. IDPC v souladu s rozhodnutím Sboru o měsíc později, 9. prosince 2020 vydal své rozhodnutí, které bylo v souladu s článkem 70 odst. 1 písm. y) zveřejněno i v elektronickém registru rozhodnutí v rámci mechanismu jednotnosti.

Pokud jde o porušení povinnosti Twitteru zdokumentovat porušení zabezpečení osobních údajů v souladu s článkem 33 odst. 5 GDPR, IDPC uvedl, že dokumentace společnosti týkající se porušení zabezpečení neobsahovala dostatečné informace, které by IDPC umožnily ověřit, zda Twitter dodržuje povinnosti vyplývající z článku 33 GDPR. IDPC zejména uvedl, že ohlášení o porušení zabezpečení neobsahovalo adekvátní vysvětlení okolností, které způsobily zpoždění ohlášení, a že se toto ohlášení ani nezabývalo tím, jak Twitter vyhodnotil rizika pro dotčené subjekty osobních údajů vyvolaná porušením zabezpečení. Tato zjištění IDPC znovu zdůrazňují důležitost pečlivého dokumentování veškerých případů porušení zabezpečení podle článku 33 odst. 5 GDPR, což by mělo být pečlivě zváženo v návaznosti na toto rozhodnutí.

Výše pokuty

Při zohlednění výše správní pokuty byly posouzeny všechny okolnosti dle článku 83 odst. 2 písm. a) až k) GDPR. Pokuta byla navýšena dle závazného rozhodnutí Sboru tak, aby byla účinná, přiměřená a odrazující.

Při výpočtu pokuty vzal IDPC v úvahu skutečnost, že zpoždění ohlášení o porušení bylo izolovanou, nikoli systémovou záležitostí, ale rozhodl, že porušení čl. 33 odst. 5 GDPR bylo „pokračující“, protože Twitter ve svém vyjádření tvrdil, že jeho dokumentace o porušení zabezpečení není nedostatečná. IDPC nicméně považoval porušení jak článku 33 odst. 1, tak i odst. 5 GDPR spíše za nedbalost než za úmysl.

Bylo dovozeno, že společnost Twitter v průběhu tohoto vyšetřování s IDPC spolupracovala, i když toto nebylo bráno jako krok správce provedený za účelem zmírnění škod způsobených subjektům údajů, jelikož šlo o zákonnou povinnost, a Twitter nespolupracoval nad rámec této své povinnosti.

Dle článku 83 odst. 4 GDPR může být správci udělena pokuta ve výši dosahující až 2 % celkového celosvětového obratu za předchozí kalendářní rok, což v by v případě společnosti Twitter mohlo činit až 69 000 000 USD, tedy zhruba 57 000 000 EUR. Společnosti Twitter byla však za zjištěná porušení udělena pokuta ve výši 450 000 EUR, která se tak rovná zhruba 0,016 %, což dle mnohých ohlasů nepředstavuje účinné, přiměřené a odstrašující opatření, které by mělo být žádoucím výsledkem.

Za zjištěné porušení článku 33 odst. 1 a 5 GDPR převzal Twitter odpovědnost a uvedl, že učinil kroky vedoucí k zamezení podobného porušení v budoucnu.

Závěrem

Tento případ připomíná správcům údajů, že jejich plán řízení porušení zabezpečení a dostatečně srozumitelné a efektivní nastavení vztahů správce se zpracovateli údajů, potažmo s jinými osobami nakládajícími s osobními údaji subjektů údajů poskytovanými správcem musí být v souladu s GDPR již od úplného počátku a musí umožnit rychlou akci a podrobné ohlášení relevantních porušení zabezpečení ochrany osobních údajů příslušnému dozorovému úřadu. Mělo by se pamatovat i na stanovení způsobu řešení incidentů v období prázdnin nebo dovolených, když porušení zabezpečení dat, které vzniklo v případě Twitteru, bylo objeveno během vánočních svátků roku 2018.

 



[1] Závazné rozhodnutí Sboru č. 1/2020 (v angličtině): https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_bindingdecision01_2020_en.pdf

Rozhodnutí IDPC IN-19-1-1 (v angličtině): https://edpb.europa.eu/sites/edpb/files/decisions/final_decision_-_in-19-1-1_9.12.2020.pdf


Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články