Cyberthreat.id - Komisi Perlindungan Data Irlandia (DPC) telah mendenda Twitter sebesar 450.000 Euro atau setara Rp7,74 milyar karena gagal memberitahu DPC tentang adanya pelanggaran.

"Penyelidikan DPC dimulai pada Januari 2019 setelah menerima pemberitahuan pelanggaran dari Twitter dan DPC menemukan bahwa Twitter melanggar Pasal 33 (1) dan 33 (5) GDPR dalam hal kegagalan untuk memberi tahu pelanggaran tepat waktu ke DPC dan kegagalan untuk mendokumentasikan pelanggaran secara memadai, “ kata DPC Irlandia, dilansir dari BleepingComputer, Rabu (16 Desember 2020).

Peraturan Perlindungan Data Uni Eropa (GDPR) mensyaratkan agar jika terjadi pelanggaran data, platform digital harus memberitahu otoritas perlindungan data paling lambat dalam waktu 72 jam. Namun, Twitter gagal memenuhi tenggat itu.

Berdasarkan aturan GDPR, regulator data UE dapat mengenakan denda maksimum hingga 20 juta euro (Rp 344 juta) atau 4 persen dari omset global tahunan perusahaan yang melanggar.

Pelanggaran yang terjadi pada Twitter yang dilaporkan ke DPC Irlandia pada Januari 2019 itu terkait adanya celah keamanan (bug) di aplikasi Twitter Android yang sudah 4 tahun tak ditambal. Akibatnya, tweet dari akun yang diatur untuk pribadi secara tidak sengaja bisa terlihat untuk publik. Padahal, bug itu telah dilaporkan melalui program bug bounty pada 26 Desember 2018.

"Ini akan membuat tweet mereka yang sebelumnya dilindungi (tweet yang hanya dapat dilihat oleh pengikut akun yang disetujui) menjadi publik dan dapat dilihat oleh siapa saja. Bug dalam kode itu mengacu ke perubahan kode yang dibuat pada 4 November 2014.” kata Twitter.

Meski bug itu telah dilaporkan pada 2018, Twitter mengatakan bahwa mereka tidak menyadari tingkat keparahan masalah dan pelanggaran hingga 3 Januari 2019, saat proses respons insiden diaktifkan.

Twitter baru memberitahu DPC Irlandia atas pelanggaran itu pada 8 Januari 2019. Dengan kata lain, melanggar ketentuan di GDPR yang menyebut seharusnya dilaporkan dalam jangka waktu 72 jam.

Twitter pun merespons denda yang diberikan DPC Irlandia dan mengatakan bahwa pihaknya berkolaborasi erat selama penyelidikan berlangsung. Lebih lanjut, Twitter menerima keputusan denda terkait dengan kegagalan mereka dalam proses tanggapan insiden.

"Kami menghargai kejelasan keputusan ini bagi perusahaan dan publik terkait persyaratan pemberitahuan pelanggaran GDPR. Seperti biasa, pendekatan kami terhadap insiden ini akan tetap dengan komitmen transparansi dan keterbukaan.” kata Twitter, Selasa (15 Desember 2020). []