Irski organ za varstvo podatkov (IE DPA) je po odločitvi EDPB o zavezujočem reševanju sporov izdal končno odločbo, v kateri je ugotovil, da je družba TikTok Technology Limited (TikTok) pri obdelavi osebnih podatkov otrok, starih od 13 do 17 let, kršila načelo poštenosti iz GDPR. Odločitev EDPB je bila izdana 2. avgusta 2023 in zajema dejavnosti obdelave podatkov, ki jih je družba TikTok izvajala med 31. julijem in 31. decembrom 2020.
Anu Talus, predsednica EDPB, je dejala: “Podjetja družbenih medijev so odgovorna, da uporabnikom, zlasti otrokom, ne predstavljajo izbir na nepošten način, zlasti če lahko ta predstavitev ljudi spodbudi k sprejemanju odločitev, ki kršijo njihove interese glede zasebnosti. Možnosti, povezane z zasebnostjo, je treba predstaviti na objektiven in nevtralen način ter se izogibati vsakršnemu zavajajočemu ali manipulativnemu jeziku ali oblikovanju. S to odločitvijo EDPB ponovno jasno kaže, da morajo biti digitalni akterji še posebej previdni in sprejeti vse potrebne ukrepe za zaščito pravic otrok do varstva podatkov.”
EDPB je v svoji zavezujoči odločbi analiziral oblikovalske prakse, ki jih je izvajal TikTok v okviru dveh pojavnih obvestil, ki sta bili prikazani otrokom, starim od 13 do 17 let: pojavno obvestilo za registracijo in pojavno obvestilo za objavo videa. Analiza je pokazala, da obe pojavni obvestili uporabniku nista predstavili možnosti na objektiven in nevtralen način.
V pojavnem obvestilu o registraciji so bili otroci z izbiro gumba na desni strani, označenega kot “Preskoči”, napeljani k izbiri javnega računa, kar bi imelo kaskadni učinek na zasebnost otroka na platformi, na primer tako, da bi bili dostopni komentarji video vsebin, ki so jih ustvarili otroci.
V pojavnem oknu za objavo videoposnetka so bili otroci spodbujeni, da namesto svetlejšega gumba za “preklic” kliknejo na “Objavi zdaj”, ki je bil predstavljen s krepkim in temnejšim besedilom na desni strani. Uporabniki, ki so želeli, da bi bila njihova objava zasebna, so morali najprej izbrati “prekliči” in nato poiskati nastavitve zasebnosti, da bi preklopili na “zasebni račun”.
Uporabniki so bili torej spodbujeni, da se odločijo za privzete javne nastavitve, TikTok pa jim je oteževal izbiro, ki je bila naklonjena zaščiti njihovih osebnih podatkov. Poleg tega so bile posledice različnih možnosti nejasne, zlasti za otroške uporabnike. EDPB je potrdil, da upravljavci posameznikom, na katere se nanašajo osebni podatki, ne bi smeli oteževati prilagajanja nastavitev zasebnosti in omejevanja obdelave.
EDPB je tudi ugotovil, da je družba TikTok zaradi zadevnih praks kršila načelo poštenosti v skladu z GDPR. Zato je EDPB organu za varstvo podatkov IE naročil, naj v svojo končno odločbo vključi ugotovitev te dodatne kršitve in podjetju TikTok odredi, da z odpravo takšnih oblikovalskih praks ravna v skladu z GDPR.
EDPB je tudi ocenil, ali so ukrepi za preverjanje starosti, ki jih je družba TikTok izvajala med 31. julijem in 31. decembrom 2020, skladni z zahtevami vgrajenega varstva podatkov (člen 25(1) SUVP). EDPB je izrazil resne dvome glede učinkovitosti ukrepov za preverjanje starosti, ki jih je družba TikTok uvedla v tem obdobju, zlasti ob upoštevanju resnosti tveganj za veliko število prizadetih otrok.
Med drugim je EDPB ugotovil, da je bilo starostno omejitev, ki jo je uvedel TikTok, da bi preprečil dostop do platforme otrokom, mlajšim od 13 let, mogoče zlahka zaobiti in da se ukrepi, uporabljeni po tem, ko so uporabniki pridobili dostop do TikToka, niso uporabljali dovolj sistematično.
EDPB je na podlagi elementov, ki so na voljo v okviru tega postopka reševanja sporov, sklenil, da nima dovolj informacij, zlasti v zvezi s stanjem tehnike, da bi lahko dokončno ocenil, ali družba TikTok spoštuje čl. 25(1) SUVP v tem obdobju. Vendar je glede na resne dvome o učinkovitosti ukrepov, ki jih je izbral TikTok, EDPB zahteval, da organ za varstvo podatkov IE to upošteva v svoji končni odločitvi.
Končna odločitev organa za varstvo podatkov IE vključuje pravno oceno, ki jo je EDPB izrazil v svoji zavezujoči odločitvi. Ta odločba je bila sprejeta na podlagi člena 3(1)(a) Uredbe (ES) št. 65(1)(a) SUVP, potem ko je organ za varstvo podatkov IE kot vodilni nadzorni organ sprožil postopek reševanja sporov v zvezi z ugovori nekaterih zadevnih nadzornih organov. S temi ugovori je bilo opredeljeno področje uporabe zgoraj opisane odločitve EDPB.
Končna odločitev EDPB vključuje tudi pravno oceno, ki ni bila predmet ugovorov s strani CSA, kot je ugotovitev, da so privzete javne nastavitve v nasprotju z načeli vgrajenega in privzetega varstva podatkov, zmanjšanja obsega podatkov in preglednosti. Poleg opomina in odredbe o skladnosti je organ za varstvo podatkov IE naložil globo v višini 345 milijonov EUR.
PREBERITE TUDI: Zoper TikTok vložena prijava zaradi več kršitev pravic potrošnikov