TikTok, platforma społecznościowa umożliwiająca udostępnianie plików wideo, zostanie ukarana grzywną w wysokości 345 mln euro za brak ochrony prywatności dzieci.
Irlandzki komisarz ds. ochrony danych (DPC) ogłosił karę nałożoną na aplikację do udostępniania plików wideo za naruszenia przepisów RODO o ochronie danych.
Organ regulacyjny stwierdził, że TikTok narażał dzieci w wieku od 13 do 17 lat na ryzyko, domyślnie udostępniając ich konta publicznie i umożliwiając im łączenie kont z osobami dorosłymi, które mogą nie być członkami rodziny.
Po naganie ze strony organu regulacyjnego chińska firma otrzymała trzy miesiące na naprawienie naruszeń. Kara jest następstwem dochodzenia wszczętego przez irlandzki organ regulacyjny ds. ochrony danych w związku z postępowaniem TikTok Technology Limited z danymi dzieci i procedurami weryfikacji wieku we wrześniu 2021 r.
W dochodzeniu oceniano, czy TikTok wywiązuje się z obowiązków wynikających z RODO w zakresie przetwarzania danych osobowych dotyczących dzieci w okresie od lipca 2020 r. do grudnia 2020 r.
DPC znaleziony w a decyzja opublikowana dzisiaj (15 września 2023 r.) że TikTok narażał dzieci na ryzyko, domyślnie ustawiając ich konta jako publiczne, co oznaczało, że każdy mógł oglądać filmy zamieszczane przez dzieci. Organ regulacyjny stwierdził również, że komentarze użytkowników oraz funkcje „duet” i „stitch” platform były domyślnie dostępne publicznie, co stwarzało dalsze ryzyko.
TikTok, którego właścicielem jest pekińska baza ByteDance, umożliwił także łączenie kont dzieci z kontami dorosłych użytkowników TikTok bez sprawdzania, czy dana osoba dorosła jest rodzicem lub opiekunem dziecka. Oznaczało to, że dorośli mogli wysyłać bezpośrednie wiadomości do dzieci powyżej 16 roku życia, co stwarzało potencjalnie poważne ryzyko dla dzieci korzystających z platformy.
TikTok, który w 2020 roku otworzył biuro w Dublinie, nakłada minimalny wiek dla dzieci od 13 lat roku życia, co jest egzekwowane poprzez wymaganie od użytkowników wpisania daty urodzenia podczas rejestracji. DPC stwierdziło jednak, że dzieci poniżej 13 roku życia, którym udało się uzyskać dostęp do platformy, również były narażone na potencjalne ryzyko, ponieważ ich konta były domyślnie upubliczniane.
DPC nie stwierdziło, że proces weryfikacji wieku TikTok naruszał RODO.
TikTok kwestionuje w porządku
TikTok oświadczył, że nie zgadza się z grzywną i że naprawił wiele kwestii uwzględnionych w skardze, zanim irlandzki DPC rozpoczął dochodzenie.
„Z całym szacunkiem nie zgadzamy się z decyzją, w szczególności z wysokością nałożonej grzywny” – powiedział rzecznik TikTok.
„Krytyka DPC koncentruje się na funkcjach i ustawieniach, które obowiązywały trzy lata temu i w których wprowadziliśmy zmiany na długo przed rozpoczęciem dochodzenia, na przykład domyślne ustawienie wszystkich kont poniżej 16 lat na prywatne” – dodał rzecznik.
Elaine Fox, dyrektor ds. prywatności na Europę w TikTok, stwierdziła w oświadczeniu, że większość krytycznych uwag ze strony DPC nie jest już aktualna w związku ze środkami wprowadzonymi przez platformę na początku 2021 r.
Obejmowały one domyślne ustawienie wszystkich kont użytkowników w wieku od 13 do 15 lat jako prywatne, usunięcie opcji umożliwiającej każdemu komentowanie filmów zamieszczanych przez dzieci oraz ułatwienie dzieciom zrozumienia ustawień prywatności.
We wrześniu 2022 r. DPC złożyło projekt decyzji przeciwko TikTok innym organom odpowiedzialnym za ochronę danych w Europie. Sprawa trafiła do Europejskiej Rady Ochrony Danych (EDPB), grupy zrzeszającej organy regulacyjne, do rozpatrzenia po tym, jak organy regulacyjne ds. ochrony danych we Włoszech i Berlinie podniosły zastrzeżenia.
Berliński organ regulacyjny nalegał na dodatkowe naruszenie zasady uczciwości RODO w związku ze stosowaniem przez TikTok „ciemnych wzorców” w celu nakłonienia użytkowników do wybierania opcji bardziej naruszających prywatność podczas procesu rejestracji i publikowania filmów.
Włochy bezskutecznie wzywały DPC do unieważnienia ustaleń DPC, zgodnie z którymi proces weryfikacji wieku w TikTok stanowi naruszenie RODO, jednak EROD przyjęła skargę berlińskiego organu regulacyjnego, że TikTok namawiał użytkowników do wybierania opcji zapewniających mniejszą ochronę prywatności.
Anu Talus, przewodnicząca EROD, stwierdziła, że dzisiejsza decyzja jasno pokazuje, że przedsiębiorstwa cyfrowe muszą podjąć wszelkie niezbędne środki, aby chronić prawa do ochrony danych dzieci.
„Firmy zajmujące się mediami społecznościowymi mają obowiązek unikać przedstawiania użytkownikom, zwłaszcza dzieciom, możliwości wyboru w nieuczciwy sposób – szczególnie jeśli taka prezentacja może skłonić ludzi do podjęcia decyzji naruszających ich interesy związane z prywatnością” – dodała.