Karę 345 mln euro wymierzył irlandzki organ ochrony danych osobowych (DPC) właścicielowi platformy do dzielenia się krótkimi materiałami wideo TikTok.
Kara jest efektem dochodzenia wszczętego we wrześniu 2021 r., dotyczącego przetwarzania danych osobowych dzieci od 31 lipca do 31 grudnia 2020 r. Kontrola dotyczyła zasadniczo praktyk TikToka wobec użytkowników w wieku 13–17 lat, ale objęła też przetwarzanie danych osób mających mniej niż 13 lat (które według regulaminu nie mogą korzystać z platformy).
Regulator stwierdził przede wszystkim, że TikTok naruszył RODO, ponieważ kontom dzieci jako domyślne ustawienie przypisywano „publiczne” – a więc każdy mógł oglądać i komentować filmiki udostępniane przez dzieci. Stanowi to naruszenie art. 25 ust. 1 i 2, art. 5 ust. 1 lit. c oraz art. 24 ust. 1 RODO.
Kolejny zarzut dotyczy funkcji łączenia kont w ramach rodziny (Family Pairing). Jak ustalił organ ochrony danych, dziecięce konta można było połączyć także z kontami osób dorosłych niebędących ich rodzicami ani opiekunami – TikTok tego nie sprawdzał. Takie połączenie umożliwiało m.in. przesyłanie dzieciom bezpośrednich wiadomości przez podszywające się pod rodziców osoby dorosłe (naruszenie art. 5 ust. 1 lit. f i art. 25 ust. 1).
Opublikowaną w piątek decyzję irlandzki urząd wydał na podstawie wiążącego rozstrzygnięcia Europejskiej Rady Ochrony Danych (EROD), skupiającej organy z państw Europejskiego Obszaru Gospodarczego. Rezultatem interwencji EROD jest m.in. uwzględnienie zarzutu, jaki wobec TikToka wysunął urząd niemiecki. Chodzi o „dark patterns”, tj. zwodnicze interfejsy – co w przypadku tej platformy polegało na zachęcaniu użytkowników do wyboru opcji mniejszej prywatności przy zakładaniu kont i publikowaniu filmików.
Ponadto DPC uznał m.in., że TikTok nie zapewnił wystarczającej przejrzystości informacji przekazywanych korzystającym z niego dzieciom (co narusza art. 12 ust. 1 i art. 13 ust. 1 lit. e).
Chociaż decyzja nie stwierdza naruszenia art. 25 RODO w odniesieniu do stosowanych przez TikToka metod weryfikacji wieku, to urząd zarzuca platformie naruszenie art. 24 ust. 1 – wskazując na zagrożenia, jakie domyślne ustawienia konta jako „publicznego” niosą dla dzieci przed 13. rokiem życia, które uzyskały dostęp do serwisu. W decyzji wskazano, że TikTok nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić tu zgodność przetwarzania danych z RODO.
Biuro prasowe TikToka poinformowało nas, że firma nie zgadza się z decyzją regulatora, „szczególnie w zakresie wysokości nałożonej kary”. Platforma podkreśla, że DPC „koncentruje się na funkcjach i ustawieniach, które istniały trzy lata temu” i które zaczęto zmieniać jeszcze przed rozpoczęciem postępowania. Między innymi w styczniu 2021 r. TikTok wprowadził domyślne ustawienie dla nowych kont osób w wieku 13–15 lat jako prywatne. W odniesieniu do nowych kont użytkowników w wieku 16 i 17 lat podobne ustawienie ma być wdrażane od tego miesiąca. ©℗