Euroopan tietosuojaneuvosto julkaisi ensimmäisen sitovan kiistanratkaisupäätöksen
Euroopan tietosuojaneuvoston sitova kiistanratkaisupäätös annettiin 9. marraskuuta ja julkaistiin 15. joulukuuta Irlannin valvontaviranomaisen annettua tähän perustuvan päätöksen Twitter International Companylle. Päätökset koskevat tietoturvaloukkausta, jonka kohteeksi joutui noin 88 700 rekisteröityä.
Twitter International Company ilmoitti Irlannin valvontaviranomaiselle henkilötietoja koskevasta tietoturvaloukkauksesta 8. tammikuuta 2019. Loukkaus koski noin 88 700 Euroopan talousalueella asuvaa Android-laitetta käyttänyttä rekisteröityä. Ohjelmointivirheen vuoksi rekisteröityjen suojatut twiitit olivat muuttuneet julkisiksi rekisteröityjen vaihdettua tiliinsä liitetyn sähköpostiosoitteen. Yritys ei ilmoittanut tietoturvaloukkauksesta valvontaviranomaiselle tietosuoja-asetuksen asettamassa määräajassa. Lisäksi tietoturvaloukkauksen dokumentointi oli puutteellista.
Asiaa käsiteltiin Euroopan talousalueen tietosuojaviranomaisten välisessä yhteistyössä. Osallistuvat valvontaviranomaiset esittivät kuitenkin vastalauseita Irlannin päätösehdotuksesta, minkä jälkeen Irlannin valvontaviranomainen siirsi johtavana valvontaviranomaisena asian tietosuojaneuvoston kiistanratkaisumenettelyyn.
Euroopan tietosuojaneuvosto hyväksyi yleisen tietosuoja-asetuksen 65 artiklaan perustuvan kiistanratkaisupäätöksen jäsentensä kahden kolmasosan enemmistöllä. Euroopan tietosuojaneuvoston ensimmäinen kiistanratkaisupäätös sitoo kaikkia asian käsittelyyn osallistuneita valvontaviranomaisia. Tietosuojavaltuutetun toimisto osallistui asian käsittelyyn osallistuvana valvontaviranomaisena ja Euroopan tietosuojaneuvoston jäsenenä.
Euroopan tietosuojaneuvoston päätöksessä kiinnitettiin huomiota erityisesti siihen, että rekisteröidyt ovat tarkoituksella halunneet rajoittaa twiittiensä yleisöä. Lisäksi painotettiin tietojenkäsittelyn laajuuden arvioimista ja tietoturvaloukkauksesta tietoiseksi tulemisen ajankohtaa. Rikkomisen vakavuutta arvioitaessa oli huomioitava, että henkilötietojen käsittely muodostaa keskeisen osan Twitter International Companyn liiketoiminnasta. Irlannin valvontaviranomainen määräsi yritykselle 450 000 euron suuruisen hallinnollisen seuraamusmaksun.
Lisätietoja:
Irlannin valvontaviranomaisen päätös: Decision of the Data Protection Commission in the matter of Twitter International Company
Euroopan tietosuojaneuvoston päätös: Decision 01/2020 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Twitter International Company under Article 65(1)(a) GDPR
Irlannin valvontaviranomaisen tiedote: Data Protection Commission announces decision in Twitter inquiry (15.12.2020)
Euroopan tietosuojaneuvoston tiedote: EDPB adopts first Art. 65 decision (10.11.2020)
65 artikla – Usein kysyttyä Euroopan tietosuojaneuvoston verkkosivuilla (englanniksi)
Euroopan tietosuojaneuvosto (EDPB) on riippumaton EU:n elin, joka koostuu EU:n kansallisista valvontaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä. Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen ja poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta.