Brusel 15. září – V návaznosti na závazné rozhodnutí Evropského sboru pro ochranu osobních údajů (EDPB) o vyřešení sporu vydal irský úřad pro ochranu osobních údajů konečné rozhodnutí, v němž zejména konstatoval, že společnost TikTok Technology Limited (dále jen „TikTok“) porušila zásadu korektnosti zakotvenou v GDPR při zpracování osobních údajů týkajících se dětí ve věku od 13 do 17 let. Rozhodnutí EDPB bylo vydáno dne 2. srpna 2023 a týká se činností společnosti TikTok v oblasti zpracování údajů v období od 31. července do 31. prosince 2020.
Předsedkyně EDPB Anu Talus k tomu uvedla: „Společnosti provozující sociální média nesou odpovědnost za to, že uživatelům, zejména dětem, nebudou nekorektním způsobem předkládány možnosti výběru – zejména pokud taková prezentace může podněcovat lidi k přijímání rozhodnutí, která porušují jejich zájmy v oblasti ochrany soukromí. Možnosti týkající se soukromí by měly být předkládány objektivním a neutrálním způsobem a bez jakéhokoli klamavého nebo manipulativního jazyka nebo designu. Prostřednictvím tohoto rozhodnutí EDPB opět zdůrazňuje, že digitální aktéři musí být obzvláště obezřetní a přijmout veškerá nezbytná opatření k zajištění práv dětí na ochranu údajů.“
EDPB ve svém závazném rozhodnutí analyzoval designové praktiky zavedené společností TikTok v souvislosti se dvěma vyskakovacími oznámeními, která se zobrazovala dětem ve věku 13–17 let: vyskakovací okno pro registraci (Registration Pop-Up) a pro nahrání videa (Video Posting Pop-Up). Z analýzy vyplynulo, že obě tato vyskakovací oznámení nepředkládala uživateli možnosti výběru objektivním a neutrálním způsobem.
V registračním okně byly děti vybízeny k tomu, aby si zvolily veřejný účet výběrem pravého tlačítka „Skip“ („Přeskočit“), což pak mělo kaskádový efekt pro soukromí dítěte na platformě, například zpřístupněním komentářů k videoobsahu vytvořenému dětmi.
V okně pro nahrávání videí byly děti povzbuzovány k tomu, aby klikly na tlačítko „Post Now“ („Nahraj nyní“) zobrazené na pravé straně jako výraznější a tmavší text, spíše než na méně nápadné tlačítko „Cancel“ („Zrušit“). Uživatelé, kteří chtěli svůj příspěvek nahrát jako neveřejný, nejprve museli zvolit možnost „zrušit“ a poté v nastavení ochrany soukromí přepnout na „soukromý účet“. Uživatelé byli tedy vybízeni k tomu, aby si zvolili standardní veřejné nastavení, přičemž společnost TikTok jim znesnadňovala vybrat si takovou možnost, která by upřednostňovala ochranu jejich osobních údajů. Kromě toho nebyly důsledky různých možností prezentovány srozumitelně, zejména pro dětské uživatele. EDPB potvrdil, že správci by neměli subjektům údajů ztěžovat přizpůsobení jejich nastavení ochrany soukromí a omezení zpracování.
EDPB rovněž konstatoval, že v důsledku dotyčných praktik společnost TikTok porušila zásadu korektnosti podle GDPR. Na tomto základě EDPB uložil irskému úřadu pro ochranu osobních údajů, aby do svého konečného rozhodnutí zahrnul zjištění týkající se tohoto dalšího porušení a nařídil společnosti TikTok, aby zajistila soulad s GDPR tím, že takové praktiky odstraní.
EDPB rovněž posuzoval, zda opatření k ověření věku uplatňovaná společností TikTok v období od 31. července do 31. prosince 2020 splňovala požadavky na záměrnou ochranu osobních údajů (čl. 25 odst. 1 GDPR). EDPB vyjádřil vážné pochybnosti ohledně účinnosti opatření k ověření věku uplatňovaných společností TikTok během uvedeného období, zejména s ohledem na závažnost rizik pro vysoký počet dotčených dětí. Mimo jiné EDPB zjistil, že systém ověřování věku zavedený společností TikTok, který má zabránit dětským uživatelům mladším 13 let v přístupu k této platformě, lze snadno obejít a že poté, co uživatelé získají přístup k platformě TikTok, nejsou příslušná opatření uplatňována dostatečně systematicky.
Na základě informací dostupných v souvislosti s tímto postupem řešení sporů dospěl EDPB k závěru, že nemá dostatečné informace, zejména pokud jde o aktuální stav, aby přesvědčivě posoudil soulad společnosti TikTok s čl. 25 odst. 1 GDPR během předmětného období. Vzhledem k vážným pochybnostem ohledně účinnosti opatření zvolených společností TikTok však EDPB požádal irský úřad pro ochranu osobních údajů, aby tuto skutečnost zohlednil ve svém konečném rozhodnutí.
Konečné rozhodnutí irského úřadu pro ochranu osobních údajů zahrnuje právní posouzení vyjádřené sborem EDPB v jeho závazném rozhodnutí. Toto rozhodnutí bylo přijato na základě čl. 65 odst. 1 písm. a) GDPR poté, co irský úřad pro ochranu osobních údajů jakožto vedoucí dozorový úřad zahájil postup řešení sporů ohledně námitek vznesených některými dotčenými dozorovými úřady. Tyto námitky vymezily rozsah rozhodnutí EDPB, jak je popsáno výše.
Konečné rozhodnutí irského úřadu pro ochranu osobních údajů rovněž zahrnuje právní posouzení, které nebylo předmětem námitek dotčených dozorových úřadů, jako je zjištění, že standardní veřejné nastavení bylo v rozporu se zásadami záměrné a standardní ochrany údajů, minimalizace údajů a transparentnosti. Vedle napomenutí a příkazu k zajištění souladu uložil irský orgán pro ochranu osobních údajů pokutu ve výši 345 milionů EUR.
Konečné rozhodnutí irského úřadu pro ochranu osobních údajů je k dispozici v rejstříku rozhodnutí přijatých dozorovými úřady a soudy v otázkách řešených v rámci mechanismu jednotnosti.
Poznámka editora:
Tímto rozhodnutím nejsou dotčena žádná posouzení, k jejichž provedení může být EDPB vyzván v jiných případech, a to i tehdy, týkají-li se stejných stran. Závazná rozhodnutí EDPB se zabývají pouze neshodami ohledně návrhu rozhodnutí, které dotčené dozorové úřady uvedly v relevantních a odůvodněných námitkách.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.