Europeiska dataskyddsstyrelsen publicerade det första bindande tvistlösningsbeslutet
Europeiska dataskyddsstyrelsens bindande tvistlösningsbeslut antogs den 9 november och publicerades den 15 december efter att den irländska tillsynsmyndigheten meddelat sitt beslut enligt detta till Twitter International Company. Besluten gäller en personuppgiftsincident som omfattade ungefär 88 700 registrerade.
Twitter International Company meddelade den irländska tillsynsmyndigheten om en personuppgiftsincident den 8 januari 2019. Incidenten omfattade ungefär 88 700 registrerade Android-användare inom EES. På grund av ett programmeringsfel hade de registrerades skyddade tweets blivit offentliga efter att de registrerade ändrade e-postadressen för sina konton. Företaget anmälde inte personuppgiftsincidenten till tillsynsmyndigheten inom den tidsfrist som anges i dataskyddsförordningen. Dessutom var dokumenteringen av personuppgiftsincidenten bristfällig.
Ärendet behandlades i samarbete mellan dataskyddsmyndigheterna inom EES. De berörda tillsynsmyndigheterna uttryckte dock invändningar mot Irlands beslutsförslag, varefter den irländska tillsynsmyndigheten i egenskap av ledande tillsynsmyndighet hänvisade ärendet till dataskyddsstyrelsens tvistlösningsförfarande.
Europeiska dataskyddsstyrelsen antog tvistlösningsbeslutet som grundar sig på artikel 65 i den allmänna dataskyddsförordningen med en två tredjedels majoritet. Europeiska dataskyddsstyrelsen första tvistlösningsbeslut är bindande för alla tillsynsmyndigheter som deltog i behandlingen av ärendet. Dataombudsmannens byrå deltog i behandlingen av ärendet i egenskap av berörd tillsynsmyndighet och medlem av Europeiska dataskyddsstyrelsen.
I beslutet uppmärksammade Europeiska dataskyddsstyrelsen särskilt det att de registrerade hade med avsikt velat begränsa läsekretsen av sina tweets. Dessutom betonades bedömningen av omfattningen av uppgiftsbehandlingen och den tidpunkt då personuppgiftsincidenten uppdagades. Vid bedömning av överträdelsens allvar beaktades det att behandlingen av personuppgifter är en väsentlig del av Twitter International Companys verksamhet. Den irländska tillsynsmyndigheten påförde företaget en administrativ påföljdsavgift på 450 000 euro.
Mer information:
Den irländska tillsynsmyndighetens beslut: Decision of the Data Protection Commission in the matter of Twitter International Company
Europeiska dataskyddsstyrelsens beslut: Decision 01/2020 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Twitter International Company under Article 65(1)(a) GDPR
Den irländska tillsynsmyndighetens meddelande: Data Protection Commission announces decision in Twitter inquiry (15.12.2020)
Europeiska dataskyddsstyrelsens meddelande: EDPB adopts first Art. 65 decision (10.11.2020)
Artikel 65 – Vanliga frågor på Europeiska dataskyddsstyrelsens webbplats (på engelska)
Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende EU-organ som utgörs av EU:s nationella tillsynsmyndigheter och representanter för europeiska datatillsynsmannen. Även EES-länderna Island, Norge och Liechtenstein är medlemmar i dataskyddsstyrelsen. Europeiska dataskyddsstyrelsen ansvarar för en enhetlig tillämpning av EU:s allmänna dataskyddsförordning och dataskyddsdirektivet som gäller för polis- och straffrättsmyndigheter.