טוויטר קיבל קנס גדול על דיווח מאוחר על הפרת נתונים תחת כללי ה-GDPR.

ועדת הגנת המידע של אירלנד הטילה קנס של 450,000 אירו (547,000 דולר) על חברת המדיה החברתית בגין אי דיווח על בעיה - מה שראהציוצים מוגנים הופכים ללא מוגנים עבור חלק ממשתמשי אנדרואיד- במסגרת הזמן הנדרשת על פי תקנת הגנת המידע הכללית של אירופה.

ה-DPC קיבלה את החלטתה הסופית ביום שלישי לאחר חקירה שהחלה בינואר 2019. בעקבות הפרת מידע בתקופת החגים של 2018, טוויטר הודיעה ל-DPC, אך הוועדה מצאה שהחברה דיווחה על כך מחוץ ל-72 השעות הקבועות בחוק. תקופת הודעה מוקדמת הנדרשת על פי GDPR, ובכך, "הפרה את סעיף 33(1) ו-33(5) ל-GDPR במונחים של כישלון ב להודיע ​​על ההפרה בזמן ל-DPC ועל אי תיעוד הולם של ההפרה".

ה-DPCמְתוּאָרהקנס של 450,000 אירו כ"צעד יעיל, מידתי ומרתיע".

זה לא קנס כבד כמו אלהגוגל כבר סטר עםבאיחוד האירופי, אבל זה משמעותי. החלטת ה-DPC היא אחת הראשונות שעברו את תהליך "פתרון המחלוקות" מאז כניסת ה-GDPR.

ראה גם:

פרצת הנתונים עצמה הייתה קשורה לבאג ישן בהרבה בקוד של טוויטר, לפי החקירה, והשפיעה על ציוצים מוגנים במכשירי אנדרואיד.

"פריצת הנתונים נבעה מבאג בעיצוב של טוויטר, שבגללו, אם משתמש במכשיר אנדרואיד שינה את כתובת האימייל המשויכת לחשבון הטוויטר שלו, הציוצים המוגנים הפכו ללא מוגנים ולכן נגישים לציבור רחב יותר (ולא רק עוקבים של המשתמש), ללא ידיעת המשתמש,"קורא את הדוח. "במהלך החקירה שלה, טוויטר גילתה פעולות משתמש נוספות שיובילו גם לאותה תוצאה לא מכוונת".

באג התגלה ב-26 בדצמבר 2018, על פי הדיווח של ה-DPC, על ידי קבלן חיצוני המנהל את תוכנית הבאגים של טוויטר, המאפשרת לכל אחד לדווח על באגים. טוויטר אישרה בדו"ח שהבאג נבע משינוי קוד שנעשה ב-4 בנובמבר 2014 - וכי בין ה-5 בספטמבר 2017 ל-11 בינואר 2019, הושפעו 88,726 משתמשי האיחוד האירופי וה-EEA. קבלן זה שיתף את התוצאה עם טוויטר בארה"ב ב-29 בדצמבר, ואז ב-2 בינואר, צוות אבטחת המידע של טוויטר בדק אותה, והחליט "זו לא בעיית אבטחה אלא שאולי מדובר בבעיית הגנת מידע". לאחר מכן, צוות המשפטי של טוויטר קיבל הודעה, שהחליט שיש להתייחס לנושא כאירוע. ב-4 בינואר, טוויטר הפעילה את תהליך התגובה לאירוע "אבל עקב טעות ביישום הנוהל הפנימי", קצין הגנת המידע העולמי לא צורף לכרטיס האירוע ולא קיבל הודעה עד 7 בדצמבר. ואז, ב-1 בינואר 8, טוויטר הודיעה ל-DPC של אירלנד באמצעות טופס ההודעה על הפרה חוצה גבולות, והחקירה החלה.

לפי טוויטר, תהליך הדיווח הסטטוטורי ל-DPC פעל כראוי בין ה-25 במאי 2018 לדצמבר 2018, אך עקב מצומצם בצוות במהלך תקופת החגים של 2018 בין חג המולד ליום השנה החדשה, חל עיכוב בתהליך התגובה לאירועים .

בהצהרה המיוחסת לדמיאן קיירן, קצין הפרטיות הראשי של טוויטר וקצין הגנת המידע העולמי, החברה אמרה שהיא שיתפה פעולה באופן מלא עם ה-DPC בחקירתה.

"טוויטר עבד בשיתוף פעולה הדוק עם הנציבות האירית להגנת המידע (IDPC) כדי לתמוך בחקירה שלהם. יש לנו מחויבות משותפת לאבטחה ופרטיות מקוונים, ואנו מכבדים את החלטת ה-IDPC, המתייחסת לכשל בתהליך התגובה שלנו לאירועים", אמר.

בטוויטר נמסר כי העיכוב בדיווח הוא שגיאה תפעולית עקב צמצום כוח האדם במהלך החגים.

"תוצאה בלתי צפויה של כוח אדם בין חג המולד 2018 ליום השנה החדשה הביאה לטוויטר הודעה ל-IDPC מחוץ לתקופת ההודעה הסטטוטורית של 72 שעות. ביצענו שינויים כך שכל התקריות בעקבות זה דווחו ל-DPC בזמן. "אמר קירן.

"אנו לוקחים אחריות על הטעות הזו ונשארים מחויבים באופן מלא להגנה על הפרטיות והנתונים של הלקוחות שלנו, לרבות באמצעות עבודתנו להודיע ​​במהירות ובשקיפות לציבור על בעיות שמתרחשות. אנו מעריכים את הבהירות שההחלטה הזו מביאה לחברות ולצרכנים בנוגע לדרישות ההודעה על הפרת GDPR. הגישה שלנו לתקריות הללו תישאר של שקיפות ופתיחות".

ייתכן שהציוץ נמחק

לפי טוויטר, מאז התקרית הזו, כל הדיווחים ל-DPC התרחשו בתוך התקופה הקבועה בחוק של 72 שעות. עם זאת, תקופת החגים לשנת 2020 ממש מעבר לפינה...