Fiosrúchán Maidir le Cuideachta Idirnáisiúnta Twitter ('TIC')
(IN-19-1-1)
Dáta an Chinnidh: 9 Nollaig 2020
Scrúdaigh an Fiosrúchán seo, a chuir an Coimisiún um Chosaint Sonraí (‘an Coimisiún)’ tús leis an 22 Eanáir 2019, ar chomhlíon Cuideachta Idirnáisiúnta Twitter (‘TIC’) a oibleagáidí faoi GDPR maidir lena fhógra, an 8 Eanáir 2019, faoi shárú sonraí pearsanta ('an Sárú') chuig an gCoimisiún. Bhain an Sárú, a tharla ag próiseálaí TIC, Twitter Inc., le fabht a tharlódh dá n-athródh úsáideoir Twitter, le cuntas cosanta, a sheoladh ríomhphoist ag úsáid Twitter do Android, go mbeadh a chuntas gan chosaint.
Ba é cuspóir an Fhiosrúcháin scrúdú a dhéanamh ar shaincheisteanna áirithe a bhain le fógra TIC faoin Sárú, seachas scrúdú a dhéanamh ar na saincheisteanna substainteacha a bhaineann leis an Sárú féin. Maidir leis seo, rinne an Fiosrúchán scrúdú chun a fháil amach ar chomhlíon TIC Airteagal 33 (1) den GDPR, i dtéarmaí tráthúlachta, a fhógra maidir leis an Sárú chuig an gCoimisiún, agus ar chomhlíon sé Airteagal 33 (5) den GDPR, maidir lena dhoiciméadú ar an Sárú.
Chuir an DPC a dhréachtchinneadh san fhiosrúchán seo faoi bhráid Údaráis Maoirseachta Imní eile faoi Airteagal 60 GDPR an 22 Bealtaine 2020. Ba é seo an chéad dréachtchinneadh a chuaigh tríd an bpróiseas um réiteach díospóide Airteagal 65 agus ba é an chéad Dréachtchinneadh é i gcás “big tech” ar chuathas i gcomhairle le húdaráis maoirseachta uile an AE mar Údaráis Maoirseachta Imní. Ghlac an Bord Eorpach um Chosaint Sonraí a chinneadh faoi Airteagal 65 (1) (a) an 9 Samhain 2020. D'eisigh an DPC a chinneadh deiridh chuig TIC an 9 Nollaig 2020.
Fíricí ba chúis le Fiosrúchán
Tugadh fógra TIC faoin Sárú don Choimisiún, as ar eascair an Fiosrúchán, an 8 Eanáir 2019 trí Fhoirm Fógra Sáraithe Trasteorann chomhlánaithe. San Fhoirm, thug TIC breac-chuntas go bhfuair sé tuarascáil ar fhabht trína ‘Chlár Bug Bounty’ á rá “… dá n-athródh úsáideoir Twitter, le cuntas cosanta, a sheoladh ríomhphoist ag úsáid Twitter do Android, bheadh a gcuntas gan chosaint mar thoradh ar an bhfabht. " Rinneadh cur síos breise san Fhoirm Fógra Sáraithe, maidir leis na cúiseanna nár tugadh fógra don Choimisiún laistigh den tréimhse 72 uair a cheanglaítear le hAirteagal 33 (1),
“Níor tugadh aird ar a thromchúisí agus a bhí an tsaincheist - agus go raibh sí intuairiscithe - go dtí an 3 Eanáir 2018 [sic] agus cuireadh próiseas freagartha eachtraí Twitter i ngníomh ag an bpointe sin.”
Shainaithin an Fhoirm Fógra Sáraithe an tionchar a d’fhéadfadh a bheith aige ar dhaoine aonair lena mbaineann, de réir mar a mheas TIC, mar “shuntasach”. I bhfoirm fógra leantach eile a chuir TIC faoi bhráid an Choimisiúin an 16 Eanáir 2019, dheimhnigh TIC gurbh é líon na núsáideoirí AE agus LEE (EEA) a mbaineann sé leo ná 88,726. Dheimhnigh sé freisin gur tugadh isteach an fabht a raibh an Sárú mar thoradh air “an 4 Samhain 2014 agus go raibh sé leasaithe go hiomlán faoin 14 Eanáir 2019” agus, toisc nach raibh sé indéanta gach duine a bhain sé leo a aithint (mar gheall ar theorainneacha coinneála ar na logaí atá ar fáil), chreid sé go raibh tionchar aige ar dhaoine breise le linn na tréimhse sin.
Fiosrúchán faoi Alt 110, an tAcht um Chosaint Sonraí 2018
Mar ba léir ón bhFoirm Fógra Sáraithe a chuir TIC isteach go raibh tréimhse níos mó ná 72 uair caite ón uair a tháinig TIC (mar rialaitheoir) ar an eolas faoin Sárú, agus ag féachaint do líon na n-ábhar sonraí a raibh tionchar orthu, chuir an Coimisiún tús leis an bhFiosrúchán, faoi Alt 110 (1) den Acht um Chosaint Sonraí 2018 (‘Acht 2018’) chun scrúdú a dhéanamh ar chomhlíon TIC a oibleagáidí faoi Airteagal 33, agus go háirithe, lena oibleagáidí faoi Airteagal 33 (1) agus Airteagal 33 (5).
Comhlíonadh Airteagal 33 (1)
Agus measúnú á dhéanamh maidir le comhlíonadh TIC le hAirteagal 33 (1), rinne an Coimisiún scrúdú ar an amlíne a bhain le fógra TIC faoin Sárú don Choimisiún. Maidir leis seo, dheimhnigh TIC don Choimisiún le linn an Fhiosrúcháin go bhfuair conraitheoir seachtrach, a bhí fostaithe ag Twitter, fógra faoin bhfabht den chéad uair an 26 Nollaig 2018, conraitheoir a bhí fostaithe chun fabhtanna a chuardach agus a mheas tríd an gClár Bug Bounty, clár trínar féidir le duine ar bith tuairisc ar fhabht a chur ar aghaidh. Dheimhnigh TIC freisin gur chuir an conraitheoir seachtrach toradh a mheasúnaithe in iúl do Twitter Inc. ar an 29 Nollaig 2018. Dheimhnigh TIC freisin gur chuir Twitter Inc. tús lena athbhreithniú inmheánach ar Shlándáil Faisnéise ar an gceist an 2 Eanáir 2019, agus, ina dhiaidh seo, an 3 Eanáir 2019, go ndearna Twitter Inc. measúnú ar an eachtra mar shárú féideartha ar shonraí pearsanta faoin GDPR agus chinn sé gur cheart an plean freagartha teagmhais a thionscnamh. Dheimhnigh TIC freisin, ina dhiaidh seo (an 4 Eanáir 2019), gur osclaíodh ticéad Bainistíochta Teagmhas (IM) ach, mar gheall ar mhainneachtain (ag foireann Twitter Inc.) céim áirithe a leanúint sa phróiseas bainistíochta teagmhas mar a bhí sé forordaithe, níor cuireadh an tOifigeach Cosanta Sonraí (DPO) de chuid TIC san áireamh ar an ticéad IM, agus mar thoradh air sin cuireadh moill ar an DPO (agus, mar sin TIC mar rialaitheoir) a chur ar an eolas faoin gceist.
Dheimhnigh TIC don Choimisiún gur chuir a phróiseálaí, Twitter Inc., ar an eolas é faoin Sárú den chéad uair an 7 Eanáir 2019. D'áitigh sé, in imthosca inar chuir sé an Sárú ar an eolas don Choimisiún an 8 Eanáir 2019, gur chomhlíon sé an ceanglas fógra a thabhairt faoi Airteagal 33 (1).
Tar éis breithniú a dhéanamh ar an amlíne maidir le fógra TIC faoin Sárú, tháinig an Coimisiún ar an tuairim, d’ainneoin feasacht iarbhír TIC ar an Sárú an 7 Eanáir 2019, gur cheart go mbeadh TIC ar an eolas faoin Sárú ag pointe ama níos luaithe agus, sa chás áirithe seo, faoin 3 Eanáir 2019 ar a dhéanaí. Agus an tuairim seo á fhoirmiú aige, chuir an Coimisiún san áireamh gurb é an 3 Eanáir 2019 an dáta a mheas Twitter Inc. an eachtra ar dtús mar shárú féideartha ar shonraí pearsanta ach, mar gheall ar neamhéifeachtúlacht an phróisis sna cúinsí áirithe agus/nó gur mhainnigh foireann Twitter Inc. a bpróiseas bainistíochta teagmhas féin a leanúint, bhí moill ann an DPO a chur ar an eolas faoin sárú féideartha sonraí, rud a d’fhág nár cuireadh TIC (mar rialaitheoir) ar an eolas faoin Sárú go dtí an 7 Eanáir 2019.
Agus an toradh seo á dhéanamh aige, chuir an Coimisiún san áireamh freisin moill níos luaithe a tháinig chun cinn sa tréimhse ón uair a chuir a chonraitheoir seachtrach an eachtra ar an eolas den chéad uair do Twitter Inc. an 29 Nollaig 2018 go dtí gur chuir Twitter Inc. tús lena athbhreithniú Slándála Faisnéise ar an gceist an 2 Eanáir 2019. Le linn an Fhiosrúcháin, dheimhnigh TIC don Choimisiún go raibh an mhoill seo tagtha chun cinn “mar gheall ar sceideal saoire an gheimhridh” (in imthosca ina raibh trí cinn de na ceithre lá i gceist ina laethanta saoire - deireadh seachtaine agus Lá na Bliana Nua) as ar eascair nár sainaithníodh agus nár formhéadaíodh an cheist mar ba chóir. Mar sin féin, níor ghlac an Coimisiún go raibh an mhoill seo réasúnach, go háirithe in imthosca nach féidir faillí a dhéanamh ar rioscaí féideartha do chosaint sonraí agus do chearta príobháideachta ábhair sonraí, fiú ar feadh tréimhse teoranta laethanta, díreach toisc gur lá saoire oifigiúil a bhí ann/tréimhse nó deireadh seachtaine agus ós rud é nach scorfadh seirbhísí Twitter de bheith ag feidhmiú le linn na n-amanna sin.
Mar a leagadh amach sa Chinneadh, tá cur i bhfeidhm malartach Airteagal 33 (1), agus an fheidhm a mhol TIC le linn an Fhiosrúcháin, trína ndéanann an rialaitheoir a oibleagáid fógra a thabhairt, go bunúsach, ag brath ar chomhlíonadh a phróiseálaí lena oibleagáidí faoi Airteagal 33 (2) an bonn a bhaint d’éifeachtacht oibleagáidí Airteagal 33 ar rialaitheoir. Bheadh cur chuige den sórt sin ag teacht salach ar chuspóir foriomlán an GDPR agus ar rún reachtóir an AE.
Comhlíonadh Airteagal 33 (5)
Agus measúnú á dhéanamh ar chomhlíon TIC Airteagal 33 (5), rinne an Coimisiún athbhreithniú ar an doiciméadacht a chuir TIC ar fáil le linn an Fhiosrúcháin, áit ar mhaígh sé go ndearna sé an Sárú a dhoiciméadú.
Agus é sin á dhéanamh, chinn an Coimisiún nár chomhlíon TIC Airteagal 33 (5). Bhí sé seo in imthosca nach raibh sa doiciméadacht a choinnigh TIC - ina aonar nó i dteannta a chéile - taifead, nó doiciméad, go sonrach, de ‘shárú sonraí pearsanta’ laistigh de théarmaí Airteagal 33 (5), ach ina áit sin ba dhoiciméadú de chineál níos ginearálaithe a bhí ann, lena n-áirítear tuairiscí agus cumarsáid inmheánach, a gineadh le linn bhainistíocht TIC ar an eachtra.
Ina theannta sin, chinn an Coimisiún nach raibh dóthain faisnéise sa doiciméadacht a choinnigh TIC i ndáil leis an Sárú chun an cheist maidir le comhlíonadh TIC le ceanglais Airteagal 33 a fhíorú, mar a cheanglaítear le hAirteagal 33 (5). Go háirithe, chinn an Coimisiún go raibh an doiciméadacht, a d’aithin TIC mar an príomhthaifead inar dhoiciméadaigh sé na fíricí, na héifeachtaí agus an gníomh feabhais a glacadh i leith an tSáraithe, easnamhach in imthosca nach raibh na fíricí ábhartha uile ann a bhain le fógra a thabhairt don Choimisiún faoin Sárú. Go háirithe, ní raibh aon tagairt sa doiciméadacht do na saincheisteanna a d’fhág gur chuir an phróiseálaí moill ar TIC a chur ar an eolas faoin Sárú, ná níor thug sé aghaidh ar an gcaoi a ndearna TIC an riosca d’úsáideoirí a raibh tionchar orthu mar thoradh ar an Sárú a mheas. Chinn an Coimisiún freisin gur léiríodh a thuilleadh na heasnaimh sa doiciméadacht a chuir TIC ar fáil mar thaifead ar an Sárú toisc go raibh ar an gCoimisiún, le linn an Fhiosrúcháin, ceisteanna éagsúla a ardú d’fhonn soiléireacht a fháil maidir leis na fíricí a bhain leis an bhfógra faoin Sárú.
Próiseas faoi Airteagal 60 agus Airteagal 65 den GDPR
An 22 Bealtaine 2020, d’eisigh an Coimisiún dréacht dá Chinneadh (‘an Dréachtchinneadh’) chuig na húdaráis maoirseachta eile lena mbaineann (‘CSAnna’) chun a dtuairimí a fháil de réir an phróisis faoi Airteagal 60 GDPR. Leag an Dréachtchinneadh amach cinneadh beartaithe an Choimisiúin maidir le sáruithe faoi Airteagail 33(1) agus 33(5) agus a mholadh fíneáil riaracháin a ghearradh. Faoi Airteagal 60(4), tá tréimhse ceithre seachtaine ag CSAnna chun agóid ábhartha agus réasúnaithe a chur in iúl i gcoinne dréachtchinnidh.
Chuir roinnt CSAanna agóidí in iúl maidir le gnéithe den Dréachtchinneadh, lena n-áirítear agóidí ar an mbonn gur cheart don Choimisiún, mar chuid dá Fhiosrúchán, forálacha eile den GDPR a mheas; agóidí a bhaineann le hábhair neamhshuntasacha, amhail ról an fhreagróra atá faoi imscrúdú (TIC) a ainmniú agus inniúlacht an Choimisiúin, mar PhríomhÚdarás Maoirseachta, chun déileáil leis an ábhar; agus agóidí i ndáil leis an bhfíneáil riaracháin a mhol an Coimisiún.
Tar éis breithniú a dhéanamh ar na hagóidí a ardaíodh, agus tar éis iarracht a dhéanamh teacht ar chomhthoil leis na CSAnna, ní raibh an Coimisiún in ann na hagóidí a leanúint i nDréachtchinneadh leasaithe. Ar an mbonn seo, tharchuir an Coimisiún an t-ábhar chuig an mBord Eorpach um Chosaint Sonraí (‘EDPB’) lena chinneadh de bhun mheicníocht um réiteach díospóide Airteagal 65. Chuir an EDPB tús le nós imeachta Airteagal 65 an 8 Meán Fómhair 2020. Tar éis dó a chinneadh ceangailteach a ghlacadh faoi Airteagal 65 (1) (a) (‘Cinneadh an EDPB’) an 9 Samhain 2020, chuir an EDPB é sin in iúl don Choimisiún an 17 Samhain 2020. Ina dhiaidh sin, de bhun Airteagal 65 (6), ceanglaíodh ar an gCoimisiún a chinneadh críochnaitheach a ghlacadh ar bhonn Chinneadh an EDPB “gan mhoill mhíchuí agus ar a dhéanaí mí amháin tar éis don Bhord a chinneadh a chur in iúl.”
Foráiltear le hAirteagal 65 (1) (a) go mbainfidh cinneadh ceangailteach an EDPB faoi Airteagal 65 “… maidir leis na hábhair go léir is ábhar don agóid ábhartha agus réasúnaithe, go háirithe an bhfuil sárú ar [an GDPR]”. Maidir leis seo, i dtéarmaí mheasúnú an EDPB ar na hagóidí a d’ardaigh na CSAnna sa chás seo, chinn Cinneadh an EDPB nach raibh cuid de na hagóidí a ardaíodh ‘ábhartha agus réasúnaithe’ de réir bhrí Airteagal 4 (24) ar an mbonn nár thug siad léiriú soiléir maidir le tábhacht na rioscaí a bhaineann leis an Dréachtchinneadh maidir le cearta agus saoirsí bunúsacha ábhar sonraí agus, nuair is infheidhme, saorshreabhadh sonraí pearsanta laistigh den Aontas Eorpach (mar a cheanglaítear le Airteagal 4 (24)).
Maidir le roinnt agóidí eile a ardaíodh, agus a rinneadh ar an mbonn gur cheart go mbeadh machnamh déanta ag an gCoimisiún ar sháruithe breise faoi fhorálacha eile den GDPR (go sonrach, Airteagail 5 (1) (f), 5 (2), 24 agus 32), cé gur chinn an EDPB go raibh na hagóidí seo ábhartha agus réasúnaithe faoi Airteagal 4 (24), chinn sé nach bhféadfadh sé, ar bhonn na ngnéithe fíorasacha sa Dréachtchinneadh nó sna hagóidí féin, a chruthú go raibh sáruithe breise (nó malartacha) den sórt sin ann.
Faoi dheireadh, agus maidir leis na hagóidí a d’ardaigh CSAnna maidir leis an bhfíneáil riaracháin a forchuireadh, chinn an EDPB go raibh cuid de na hagóidí seo ábhartha agus réasúnaithe faoi Airteagal 4 (24). Mar sin, d’eisigh an EDPB treoir cheangailteach don Choimisiún chun athmheasúnú a dhéanamh ar na heilimintí a raibh sé ag brath orthu chun méid na fíneála a ríomh (faoi Airteagal 83 (2) GDPR) agus chun an Dréachtchinneadh a leasú trí leibhéal na fíneála a ardú. (Téigh chuig suíomh idirlín an EDPB, an áit ar foilsíodh Cinneadh an EDPB, chun tuilleadh sonraí ar Chinneadh an EDPB a fháil).
Cinneadh faoi alt 111 d'Acht 2018
Ghlac an Coimisiún a Chinneadh deiridh (‘an Cinneadh’) an 9 Nollaig 2020, ar bhonn Chinneadh an EDPB, de bhun Airteagal 60 (7) i gcomhar le hAirteagal 65 (6). Agus cinneadh á dhéanamh gur sháraigh TIC Airteagal 33 (1) agus Airteagal 33 (5), ghearr an Coimisiún fíneáil riaracháin $500,000 (measta chun na críche seo ag €450,000) a léirigh méadú ar leibhéal na fíneála riaracháin beartaithe a leagadh amach sa Dréachtchinneadh, de réir threoir an EDPB. Nuair a bhí an fhíneáil seo á cinneadh, chinntigh an Coimisiún, mar a cheanglaítear air a dhéanamh faoi Airteagal 83 (1) GDPR, go raibh an fhíneáil a gearradh éifeachtach, comhréireach agus athchomhairleach. Maidir leis seo, agus cinneadh á dhéanamh fíneáil a ghearradh agus méid na fíneála sin á mheas, bhreithnigh an Coimisiún an raon iomlán fachtóirí faoi Airteagal 83 (2) GDPR i gcomhthéacs imthosca an cháis áirithe seo. Agus é sin á dhéanamh, thug an Coimisiún aird ar leith ar chineál, ar dháiríreacht agus ar fhaid na sáruithe lena mbaineann, ag cur san áireamh cineál, scóip agus cuspóir na próiseála agus líon na n-ábhar sonraí a ndearnadh difear dóibh. Thug an Coimisiún aird freisin ar thréith fhaillíoch na sáruithe. Agus an fhíneáil á socrú aige, chuir an Coimisiún tosca áirithe eile san áireamh, lena n-áirítear na céimeanna a ghlac Twitter Inc. chun an fabht a cheartú.
Nuair a bhí a chinneadh á dhéanamh aige sa chás seo, thug an Coimisiún chun suntais freisin go bhfuil tábhacht lárnach ag rialaitheoirí na hoibleagáidí faoi Airteagal 33 (1) agus Airteagal 33 (5) a chomhlíonadh mar chuid d’fheidhmiú foriomlán an chórais maoirseachta agus forfheidhmithe a dhéanann údaráis chosanta sonraí
Chun tuilleadh faisnéise a fháil, is féidir leat cóip den chinneadh iomlán a íoslódáil ag an nasc seo (i mBéarla): Cuideachta Idirnáisiúnta Twitter (‘TIC’) - Nollaig 2020 (PDF, 2,014 KB).