Kara jest efektem dochodzenia wszczętego we wrześniu 2021 r., dotyczącego przetwarzania danych osobowych dzieci od 31 lipca do 31 grudnia 2020 r. Kontrola dotyczyła zasadniczo praktyk TikToka wobec użytkowników w wieku 13–17 lat, ale objęła też przetwarzanie danych osób mających mniej niż 13 lat (które według regulaminu nie mogą korzystać z platformy).

Regulator stwierdził przede wszystkim, że TikTok naruszył RODO, ponieważ kontom dzieci jako domyślne ustawienie przypisywano „publiczne” – a więc każdy mógł oglądać i komentować filmiki udostępniane przez dzieci. Stanowi to naruszenie art. 25 ust. 1 i 2, art. 5 ust. 1 lit. c oraz art. 24 ust. 1 RODO.

Kolejny zarzut dotyczy funkcji łączenia kont w ramach rodziny (Family Pairing). Jak ustalił organ ochrony danych, dziecięce konta można było połączyć także z kontami osób dorosłych niebędących ich rodzicami ani opiekunami – TikTok tego nie sprawdzał. Takie połączenie umożliwiało m.in. przesyłanie dzieciom bezpośrednich wiadomości przez podszywające się pod rodziców osoby dorosłe (naruszenie art. 5 ust. 1 lit. f i art. 25 ust. 1).

Opublikowaną w piątek decyzję irlandzki urząd wydał na podstawie wiążącego rozstrzygnięcia Europejskiej Rady Ochrony Danych (EROD), skupiającej organy z państw Europejskiego Obszaru Gospodarczego. Rezultatem interwencji EROD jest m.in. uwzględnienie zarzutu, jaki wobec TikToka wysunął urząd niemiecki. Chodzi o „dark patterns”, tj. zwodnicze interfejsy – co w przypadku tej platformy polegało na zachęcaniu użytkowników do wyboru opcji mniejszej prywatności przy zakładaniu kont i publikowaniu filmików.

Ponadto DPC uznał m.in., że TikTok nie zapewnił wystarczającej przejrzystości informacji przekazywanych korzystającym z niego dzieciom (co narusza art. 12 ust. 1 i art. 13 ust. 1 lit. e).

Chociaż decyzja nie stwierdza naruszenia art. 25 RODO w odniesieniu do stosowanych przez TikToka metod weryfikacji wieku, to urząd zarzuca platformie naruszenie art. 24 ust. 1 – wskazując na zagrożenia, jakie domyślne ustawienia konta jako „publicznego” niosą dla dzieci przed 13. rokiem życia, które uzyskały dostęp do serwisu. W decyzji wskazano, że TikTok nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić tu zgodność przetwarzania danych z RODO.

Biuro prasowe TikToka poinformowało nas, że firma nie zgadza się z decyzją regulatora, „szczególnie w zakresie wysokości nałożonej kary”. Platforma podkreśla, że DPC „koncentruje się na funkcjach i ustawieniach, które istniały trzy lata temu” i które zaczęto zmieniać jeszcze przed rozpoczęciem postępowania. Między innymi w styczniu 2021 r. TikTok wprowadził domyślne ustawienie dla nowych kont osób w wieku 13–15 lat jako prywatne. W odniesieniu do nowych kont użytkowników w wieku 16 i 17 lat podobne ustawienie ma być wdrażane od tego miesiąca. ©℗