Bruxelles, den 15. september – Efter Databeskyttelsesrådets bindende tvistbilæggelsesafgørelse har den irske databeskyttelsesmyndighed truffet en endelig afgørelse, hvori den navnlig fastslår, at TikTok Technology Limited (TikTok) ved behandlingen af personoplysninger vedrørende børn i alderen 13-17 år har tilsidesat princippet om rimelighed i henhold til den generelle forordning om databeskyttelse (GDPR). Databeskyttelsesrådets afgørelse blev truffet den 2. august 2023 og dækker TikTok's behandling af personoplysninger i perioden fra den 31. juli til den 31. december 2020.
Anu Talus, formand for Databeskyttelsesrådet, udtaler: "Udbydere af sociale medier har ansvar for at sørge for, at brugere, navnlig børn, ikke stilles over for valgmuligheder på en urimelig måde – navnlig hvis de tilskyndes til at træffe beslutninger, der krænker deres privatliv. Valgmuligheder med hensyn til privatlivets fred bør gives på en objektiv og neutral måde, så enhver form for vildledende eller manipulerende sprog eller design undgås. Med denne afgørelse gør Databeskyttelsesrådet det endnu en gang klart, at digitale aktører skal være ekstra omhyggelige og træffe alle nødvendige foranstaltninger for at sikre børns databeskyttelsesrettigheder."
I sin bindende afgørelse analyserede Databeskyttelsesrådet TikTok's designpraksis i forbindelse med to pop op-meddelelser, der blev vist til børn i alderen 13-17 år, nemlig pop op-meddelelserne for registrering og videoopslag. Analysen viste, at begge pop-up-meddelelser ikke gav brugeren mulighed for at vælge på en objektiv og neutral måde.
I pop op-meddelelsen for registrering blev børn tilskyndet til at vælge en offentlig konto ved at klikke på knappen "Skip" (spring over) i højre side, hvilket ville få kaskadevirkninger for barnets privatliv på platformen, f.eks. ved at gøre kommentarer til videoindhold skabt af børn tilgængelige.
I pop op-meddelelsen for videoopslag blev børn med fed og mørkere tekst tilskyndet til at klikke på "Post Now" (slå op nu) til højre i stedet for på den lysere annulleringsknap. Brugere, der ønskede at gøre deres opslag privat, skulle først annullere og derefter lede efter privatlivsindstillingerne for at skifte til en privat konto. Derfor blev brugerne tilskyndet til at vælge "offentlig som standard"-indstillinger, hvorved TikTok gjorde det vanskeligere for dem at træffe valg, der ville sikre dem en bedre beskyttelse af deres personoplysninger. Desuden var konsekvenserne af de forskellige valgmuligheder uklare, navnlig for børn. Databeskyttelsesrådet bekræftede, at dataansvarlige ikke bør gøre det vanskeligt for registrerede at tilpasse deres privatlivsindstillinger og begrænse databehandlingen.
Databeskyttelsesrådet fandt også, at TikTok som følge af den pågældende praksis tilsidesatte princippet om rimelighed i henhold til GDPR. Databeskyttelsesrådet pålagde derfor den irske databeskyttelsesmyndighed i sin endelige afgørelse at angive, at der også var konstateret denne tilsidesættelse, samt at pålægge TikTok at overholde GDPR ved at sætte en stopper for brugen af en sådan designpraksis.
Databeskyttelsesrådet vurderede også, hvorvidt de alderskontrolforanstaltninger, som TikTok indførte i perioden fra den 31. juli til den 31. december 2020, opfyldte kravene om databeskyttelse gennem design (artikel 25, stk. 1, i GDPR). Databeskyttelsesrådet udtrykte alvorlig tvivl om effektiviteten af de alderskontrolforanstaltninger, som TikTok havde indført i denne periode, navnlig under hensyntagen til alvoren af risiciene for det store antal berørte børn. Databeskyttelsesrådet fandt bl.a., at det alderskontrolsystem, som TikTok anvendte for at forhindre børn under 13 år i at få adgang til platformen, let kunne omgås, og at de foranstaltninger, der blev anvendt, efter at brugerne fik adgang til TikTok, ikke blev anvendt tilstrækkeligt systematisk.
På grundlag af de elementer, der var tilgængelige i forbindelse med denne tvistbilæggelsesprocedure, konkluderede Databeskyttelsesrådet, at det ikke havde tilstrækkelige oplysninger, navnlig med hensyn til det aktuelle tekniske niveau, til endegyldigt at vurdere TikTok's overholdelse af artikel 25, stk. 1, i GDPR i denne periode. I betragtning af den alvorlige tvivl om effektiviteten af de af TikTok valgte foranstaltninger krævede Databeskyttelsesrådet dog, at den irske databeskyttelsesmyndighed afspejlede dette i sin endelige afgørelse.
Den irske databeskyttelsesmyndighed har i sin endelige afgørelse indarbejdet den retlige vurdering, som Databeskyttelsesrådet anførte i sin bindende afgørelse. Denne afgørelse blev vedtaget på grundlag af artikel 65, stk. 1, litra a), i GDPR, efter at den irske databeskyttelsesmyndighed som ledende tilsynsmyndighed havde indledt en tvistbilæggelsesprocedure vedrørende indsigelser fra visse berørte tilsynsmyndigheder. Disse indsigelser viste omfanget af den ovenfor beskrevne afgørelse fra Databeskyttelsesrådet.
Den irske databeskyttelsesmyndigheds endelige afgørelse omfatter også en retlig vurdering, som de berørte tilsynsmyndigheder ikke havde indsigelser mod, f.eks. konklusionen om, at "offentlig som standard"-indstillingen var i strid med principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, dataminimering og gennemsigtighed. Ud over en irettesættelse og et påbud om overholdelse pålagde den irske databeskyttelsesmyndighed en bøde på 345 mio. EUR.
Den irske databeskyttelsesmyndigheds endelige afgørelse kan tilgås i registret over afgørelser truffet af tilsynsmyndigheder og domstole om spørgsmål, der behandles inden for rammerne af sammenhængsmekanismen.
Redaktionel note:
Denne afgørelse berører ikke eventuelle vurderinger, som Databeskyttelsesrådet måtte blive anmodet om at foretage i andre sager, herunder med de samme parter. Databeskyttelsesrådet tager i sine bindende afgørelser kun stilling til uenigheder i forbindelse med udkast til afgørelse, som de berørte tilsynsmyndigheder har givet udtryk for i relevante og begrundede indsigelser.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.