Irska: 345 milijonov EUR kazni za TikTok
Po zavezujoči odločitvi EDPB o reševanju sporov je irski nadzorni organ izdal končno odločitev glede TikToka, v kateri je ugotovil kršitve vrste načel GDPR, zlasti načela poštenosti pri obdelavi osebnih podatkov v zvezi z otroki, starimi od 13 do 17 let.
Novica je bila objavljena 15.9.2023
Izvršilni ukrep se nanaša na zahtevke proti nastavitvam platforme TikTok za otroke, ki so bile vzpostavljene v petmesečnem obdobju od 31. julija 2020 do 31. decembra 2020. Preiskava nadzornega organa je pokazala kršitve členov 5(1)(c), 5(1)( f), 12(1), 13(1)(e), 24(1), 25(1) in 25(2), medtem ko je bila dodatna kršitev člena 5(1)(a) dodana po EDPB odločitvi v avgustu.
Preiskava se je osredotočila na nekaj funkcij TikTok:
privzete nastavitve računa so bile "javno", kar pomeni, da so vsi lahko videli videoposnetke, ne le prijatelji;
nastavitve »Family Pairing« so bile slabo izvedene, saj so se lahko na račun otroka povezale tudi druge osebe,
preglednost, kajti informacije niso bile razumljive in otroci posledično niso vedeli, kakšne so posledice privzetih nastavitev "javno" in
preverjanje starosti.
V izjavi o odločitvi je EDPB prestavil trditve, ki jih je analiziral pri svoji odločitvi o reševanju sporov iz člena 65. Osredotočil se je na "prakse uporabniške izkušnje v kontekstu dveh pojavnih obvestil TikToka, ki sta bila prikazana otrokom, starim od 13 do 17 let: pojavno okno za registracijo in pojavno okno za objavo videoposnetkov." Obe praksi domnevno "nista predstavili možnosti uporabniku na objektiven in nevtralen način," pravi odbor.
Anu Talus, predsednica EDPB, je dejala: »Podjetja družabnih omrežij so odgovorna, da se izogibajo predstavitvi izbir uporabnikom, zlasti otrokom, na nepošten način, zlasti če lahko ta predstavitev spodbudi uporabnike k sprejemanju odločitev, ki kršijo njihove interese glede zasebnosti. Možnosti, povezane z zasebnostjo, bi morale biti zagotovljene na objektiven in nevtralen način, pri čemer se je treba izogibati kakršnemu koli zavajajočemu ali manipulativnemu jeziku ali oblikovanju. S to odločitvijo EDPB še enkrat pojasnjuje, da morajo biti digitalni ponudniki še posebej previdni in sprejeti vse potrebne ukrepe za zaščito pravic otrok do varstva podatkov.«
V pojavnem oknu za registracijo so bili otroci pozvani, naj se odločijo za javni račun z izbiro desnega gumba z oznako »Preskoči«, kar bi nato imelo kaskadni učinek na otrokovo zasebnost na platformi, na primer dostopnost komentarjev videoposnetkov, ki so jih ustvarili otroci. V pojavnem oknu za objavo videoposnetkov so bili otroci pozvani, da kliknejo »Objavi zdaj«, predstavljeno v krepkem, temnejšem besedilu na desni strani, namesto na svetlejšem gumbu za »preklic«. Uporabniki, ki so želeli svojo objavo narediti zasebno, so morali najprej izbrati »prekliči« in nato poiskati nastavitve zasebnosti, da so preklopili na »zasebni račun«. Tako so uporabnike spodbujali, da se odločijo za privzete nastavitve, »javno«, pri čemer jim je TikTok otežil izbiro, ki je naklonjena zaščiti njihovih osebnih podatkov. Poleg tega so bile posledice različnih možnosti nejasne, zlasti za otroke. EDPB je potrdil, da upravljavci posameznikom ne bi smeli otežiti prilagajanja njihovih nastavitev zasebnosti in omejiti obdelave.
EDPB je tudi ugotovil, da je TikTok zaradi zadevnih praks kršil načelo pravičnosti v skladu z GDPR. Posledično je EDPB nadzornemu organu naročil, naj v svojo končno odločitev vključi ugotovitev te dodatne kršitve in TikToku naloži uskladitev z GDPR z odpravo takšnih oblikovnih praks.
EDPB je ocenjeval tudi, ali so ukrepi za preverjanje starosti, ki jih je izvajal TikTok med 31. julijem in 31. decembrom 2020, skladni z zahtevami vgrajenega varstva podatkov (člen 25(1) GDPR). EDPB je izrazil resne pomisleke glede učinkovitosti ukrepov za preverjanje starosti, ki jih je v tem obdobju uvedel TikTok, zlasti ob upoštevanju resnosti tveganja za veliko število prizadetih otrok. EDPB je med drugim ugotovil, da je mogoče starostno omejitev, ki jo je uporabil TikTok, da bi otrokom, mlajšim od 13 let, preprečil dostop do platforme, zlahka zaobiti in da ukrepi, ki so bili uporabljeni po tem, ko so uporabniki pridobili dostop do TikTok, niso bili uporabljeni dovolj sistematično.
Na podlagi elementov, ki so na voljo v okviru tega postopka reševanja sporov, je EDPB sklenil, da nima dovolj informacij, zlasti v zvezi s stanjem tehnike, da bi dokončno ocenil skladnost TikToka s čl. 25 (1) GDPR v tem obdobju. Glede na resne dvome o učinkovitosti ukrepov, ki jih je izbral TikTok, pa je EDPB zahteval, da nadzorni organ to upošteva v svoji končni odločitvi. Končna odločitev nadzornega organa vključuje pravno oceno, ki jo je izrazil EDPB v svoji zavezujoči odločitvi. Ta sklep je bil sprejet na podlagi 3. čl. 65(1)(a) GDPR, potem ko je irski nadzorni organ kot vodilni nadzorni organ sprožil postopek reševanja sporov v zvezi z ugovori nekaterih zadevnih nadzornih organov. Ti ugovori so orisali zgoraj opisano področje uporabe odločitve EDPB.
Končna odločitev irskega nadzornega organa vključuje tudi pravno oceno, ki ni bila predmet ugovorov s strani zadevnih nadzornih organov, kot je ugotovitev, da so bile privzete nastavitve »javno« v nasprotju z načeli vgrajenega in privzetega varstva podatkov, minimizacije podatkov in preglednosti. Poleg opomina in odredbe o skladnosti je irski nadzorni organ naložil globo v višini 345 milijonov EUR.
Nadzorni organ je TikToku dal tri mesece časa, da uskladi vso svojo obdelavo, kjer so bile ugotovljene kršitve.
Novica je dostopna tukaj
Naslovna fotografija: RawPixel
