Twitter bliver efterforsket for et potentielt brud på den generelle databeskyttelsesforordning (GDPR) efter at have nægtet at give en akademiker oplysninger om, hvordan han spores på platformen.
Det sociale medie netværk bruger forkortede t.co-links som en måde at spore en håndfuld datapunkter, herunder hvor mange klik, længere links modtager. De hjælper også med at bremse spredningen af malware og phishing-angreb, siger platformen.
Michael Veale, en forsker baseret på University College London (UCL), indgav en anmodning om emneadgang (SAR) for at finde ud af, om disse links sporer flere data om brugere end Twitter lader på.
Men ifølge Formue, det sociale medieselskab afviste hans anmodning med den begrundelse, at det ville kræve "uforholdsmæssig indsats" at give disse oplysninger.
Veale eskalerede derefter problemet med en klage til den irske databeskyttelseskommission (DPC), som bekræftede i en brev i sidste uge, at den ville undersøge, om Twitters afvisning af at opfylde anmodningen udgør en GDPR brud.
DPC sagde også, at det ville overveje at engagere European Data Protection Board, et uafhængigt rådgivende organ, der arbejder for at anvende den konsekvente anvendelse af GDPR på tværs af kontinentet.
"DPC har indledt en formel lovpligtig undersøgelse vedrørende din klage," skrev regulatoren.
"Forespørgslen vil undersøge, om Twitter har opfyldt sine forpligtelser i forbindelse med emnet for din klage og afgøre, om nogen bestemmelser i GDPR eller [Irish Data Protection] Act er blevet overtrådt af Twitter i denne respekt.”
Irlands datavagthund håndterer sagen under GDPR’s One Stop Shop-princip, hvor en ledende efterforsker udpeges til at undersøge grænseoverskridende brud.
De registreredes rettigheder er blevet betydeligt styrket siden GDPR trådte i kraft den 25. maj. I henhold til de nye regler er organisationer forpligtet til at levere alle data, der opbevares om deres brugere eller kunder inden for 30 dage, med forbehold for undtagelser i loven.
Disse anmodninger om emneadgang (SAR'er) fungerer også sammen med retten til at blive glemt, hvilket giver folks ret til at anmode om, at data, der opbevares om dem af enhver organisation, slettes under rimelig omstændigheder.
Forskning offentliggjort i sidste måned viste kun 35 % af EU-baserede virksomheder opfylder SARs inden for den lovlige 30-dages tidsramme, hvilket gælder for 50 % af virksomheder uden for Europa.
Denne sag behandles under GDPR, siden anmodningen blev fremsat efter de nye regler trådte i kraft.
