Irsko nadzorno tijelo – Data Protection Commission (DPC) kaznilo je Twitter International Company u iznosu od 450 tisuća eura. (DPC je izrekao kaznu u iznosu $500.000, a njihova slobodna procjena je da je to oko €450.000. Zapravo, kazna u eurima iznosi približno €410.000, op.a.)
Ova kazna rezultat je istrage koju je DPC proveo u razdoblju od početka 2019. do svibnja 2020. godine.
Zašto je uopće kažnjen Twitter?
DPC je započeo istražne radnje nakon zaprimljene obavijesti o povredi osobnih podataka. Obavijest je poslao sâm Twitter, ali ne na vrijeme – umjesto unutar 72 sata od saznanja za povredu, obavijest je poslana nakon 13 dana! Evo kako su to objasnili:
“An unanticipated consequence of staffing between Christmas Day 2018 and New Year’s Day resulted in Twitter notifying the Irish data protection commissioner outside the 72-hour statutory notice period. We have made changes so that all incidents following this have been reported to them in a timely fashion.”
Shodno tome, istraga koju je proveo DPC fokusirala se na neispunjavanje obveza obavješćivanja nadzornog tijela o povredi te je zaključeno da je TIC u prekršaju prema članku 33. stavcima 1. i 5. Opće uredbe o zaštiti podataka.
Kazna nije dovoljno visoka
Ako vam se učinilo da je kazna od 450 tisuća eura preniska, što biste mislili o tome da je kazna još manja? Primjerice, u rasponu od 150-300 tisuća dolara (135-275 tisuća eura). Naime, upravo taj raspon je predlagao DPC u nacrtu odluke o kažnjavanju. Na takvu odluku požalila su se ostala nadzorna tijela, ne samo zbog iznimno niske predložene kazne, nego i zbog nejasnog odnosa voditelj-izvršitelj između TIC-a u Irskoj i Twitter Inc. u SAD-u.
Čak i ako prihvatimo da je Twitterov jedini grijeh što su o povredi prekasno obavijestili DPC, izrečena kazna još uvijek se čini preniska. Sukladno članku 83. Opće uredbe, predmetni prekršaj pripast će “nižem” razredu kazni prema kojem maksimalna kazna može iznositi do 10 milijuna eura ili do 2% ukupnog godišnjeg prometa na svjetskoj razini, što god je veće.
Izračunajmo:
450 tisuća eura je približno jednako 550 tisuća dolara, a Twitter je u 2019. godini uprihodio gotovo 3,5 milijarde dolara (3.459.329.000,00 USD – Twitter godišnje izvješće, str. 32). To znači da bi u ovom slučaju maksimalna kazna iznosila 69 milijuna dolara, tj. oko 56,5 milijuna eura. Prema tome, Twitter je kažnjen u iznosu od 0,79% od maksimalne kazne koja im je mogla biti izrečena za ovaj prekršaj.
Zaključimo, za plaćanje ove kazne Twitter će trebati izdvojiti 0,0159% od svojih ukupnih prihoda u 2019. godini. Je li ovakva kazna odvraćajuća? DPC smatra da je:
The DPC’s investigation commenced in January, 2019 following receipt of a breach notification from Twitter and the DPC has found that Twitter infringed Article 33(1) and 33(5) of the GDPR in terms of a failure to notify the breach on time to the DPC and a failure to adequately document the breach. The DPC has imposed an administrative fine of €450,000 on Twitter as an effective, proportionate and dissuasive measure.
Unatoč tome, ova kazna je tek djelić u odnosu na kazne koje redovno izriču ostala nadzorna tijela. Izdvojit ćemo nekoliko:
