Głośne postępowanie irlandzkiego organu właściwego ds. ochrony danych osobowych (The Data Protection Commission – DPC) znalazło swój finał. DPC ukarał spółkę Twitter International Company kwotą w wysokości 450 000 euro (ok. 2 000 000 złotych) za naruszenia przepisów o ochronie danych osobowych. Kara ta wydaje się co prawda wysoka, niemniej administrator może jednak mówić o sporym szczęściu. Niektóre podmioty apelowały bowiem o ukaranie giganta w maksymalnej dopuszczalnej wysokości, tj. 4% globalnego rocznego obrotu spółki.
Postępowanie w tej sprawie było wyjątkowe pod wieloma względami. DPC po raz pierwszy w historii skorzystał w jego toku z procedury rozstrzygania sporu przez Europejską Radę Ochrony Danych (EROD) (art. 65 RODO). Dodatkowo, jest to pierwsze rozstrzygnięcie irlandzkiego regulatora w sprawie transgranicznej, prowadzonej na podstawie przepisów RODO.
Postępowanie przed organem krajowym
DPC wszczął postępowanie kontrolne w tej sprawie jeszcze w 2019 r. Wówczas spółka zawiadomiła DPC o naruszeniu ochrony danych osobowych związanym z funkcjonowaniem mechanizmu tzw. prywatnych tweetów (prywatnych wiadomości wysyłanych do wybranych osób). W toku postępowania organ nadzorczy ustalił, że niektóre prywatne tweety, przesyłane w latach 2014-2019 za pośrednictwem urządzeń z systemem operacyjnym Android, mogły zostać upublicznione. Organ nadzorczy zakończył postępowanie w tej sprawie na początku bieżącego roku.
Decyzja EROD
W ramach prowadzonego postępowania DPC skorzystał z mechanizmu współpracy, w ramach którego przekazał projekt swojej decyzji innym organom nadzorczym z UE do zaopiniowania (art. 60 ust. 3 RODO). Projekt ten nie spotkał się z aprobatą innych regulatorów. DPC odrzucił jednak otrzymane sprzeciwy, uznając, że nie są one istotne i uzasadnione.
Wobec braku porozumienia pomiędzy organami nadzorczymi, DPC zwrócił się o pomoc do EROD, inicjując tym samym po raz pierwszy w historii procedurę rozstrzygania sporu (art. 65 RODO). Zgodnie z tą procedurą, EROD rozstrzyga zaistniały spór w formie decyzji, która dla swej skuteczności wymaga poparcia większości 2/3 swoich członków (organów nadzorczych UE). EROD poinformował, że przyjął wiążącą decyzję w tej sprawie 9 listopada br., rozstrzygając tym samym spór pomiędzy organami nadzorczymi.
Decyzja DPC
Zgodnie z przepisami RODO, irlandzki regulator zobowiązany był podjąć ostateczną decyzję wobec Twitter International Company w przeciągu miesiąca od otrzymania od EROD powiadomienia o wydaniu wiążącej decyzji i tak też uczynił.
DPC wskazał w swoim rozstrzygnięciu, że ukarany administrator naruszył art. 33 ust 1 i 5 RODO. Nie zawiadomił on bowiem w odpowiednim czasie organu nadzorczego o dostrzeżonym naruszeniu ochrony danych osobowych, jak również nie udokumentował on odpowiednio przedmiotowego naruszenia, w tym w zakresie okoliczności jego wystąpienia, skutków oraz podjętych działań naprawczych.
W ocenie irlandzkiego organu nadzorczego, nałożona kara pieniężna jest skuteczna, proporcjonalna i pełni funkcję odstraszającą, w tym dla innych administratorów.
Kara mogła być znacznie wyższa
Kwota, którą zobowiązany jest zapłacić administrator odpowiada jedynie około 0,1 % jego rocznych przychodów w skali globalnej. Okoliczność ta wywołała szeroką falę krytyki w środowisku aktywistów, którzy podnosili, że DPC powinien nałożyć na spółkę karę w maksymalnej wysokości, tj. 4% jej globalnego rocznego obrotu.
Zastrzeżenia co do wysokości planowanej kary napływały również od innych organów nadzorczych. Podnoszony był argument, że kwota ta jest zbyt niska, a konsekwentnie niezgodna z art. 83 ust. 1 RODO. Co ciekawe, zagraniczne media donoszą, że niemiecki regulator zaproponował, aby DPC nałożył na spółkę karę w wysokości od 7 000 000 do 22 000 000 milionów euro (od ok. 31 600 000 do ok. 99 300 000 złotych). W jego ocenie, tak wysoka kara pieniężna spowodowałaby, że bezprawne przetwarzanie danych osobowych byłoby nieopłacalne.
Administrator komentuje
Przedstawiciele Twitter International Company poinformowali, że spółka będzie ściśle współpracować z irlandzkim organem nadzorczym. Podkreślili jednocześnie, że dba ona o bezpieczeństwo oraz prywatność użytkowników w Internecie, dlatego też szanuje decyzję regulatora. Z oświadczenia ukaranego administratora wynika, że naruszenie w niniejszej sprawie było nieoczekiwaną konsekwencją zatrudnienia nowych pracowników w okresie między Bożym Narodzeniem w 2018 r., a Nowym Rokiem. To spowodowało, że Spółka zawiadomiła organ nadzorczy o naruszeniu ochrony danych osobowych po upływie 72-godzinnego terminu, wynikającego z RODO.
Gigant wskazał, że w pełni odpowiada za stwierdzone naruszenia. Aktualnie, podejmuje on szereg działań mających na celu szybkie i przejrzyste informowanie opinii publicznej o występujących problemach. Spółka wprowadziła już odpowiednie zmiany, aby uniknąć podobnych naruszeń w przyszłości.
Źródło: