Brüssel, 15. september – Iirimaa andmekaitseasutus (IE DPA) tegi pärast Euroopa Andmekaitsenõukogu siduvat vaidluste lahendamise otsust lõpliku otsuse, leides eelkõige, et TikTok Technology Limited (TikTok) rikkus isikuandmete töötlemisel 13–17-aastaste laste isikuandmete töötlemisel isikuandmete kaitse üldmääruses sätestatud õigluse põhimõtet. Euroopa Andmekaitsenõukogu otsus tehti 2. augustil 2023 ja see hõlmab TikToki töötlemistoiminguid 31. juulist kuni 31. detsembrini 2020.
Euroopa Andmekaitsenõukogu esimees Anu Talus ütles: „Sotsiaalmeediaettevõtetel on kohustus mitte esitada kasutajatele, eelkõige lastele, ebaõiglaselt valikuid, eriti kui selline esitlus võib sundida inimesi tegema otsuseid, mis rikuvad nende eraelu puutumatuse huve. Eraelu puutumatusega seotud valikuvõimalusi tuleks pakkuda objektiivsel ja neutraalsel viisil, vältides mis tahes eksitavat või manipuleerivat keelt või disaini. Selle otsusega teeb Euroopa Andmekaitsenõukogu veel kord selgeks, et digimängijad peavad olema eriti ettevaatlikud ja võtma kõik vajalikud meetmed, et kaitsta laste andmekaitseõigusi.“
Oma siduvas otsuses analüüsis Euroopa Andmekaitsenõukogu TikToki rakendatud kavandamistavasid seoses kahe hüpikaknateatisega, mis näidati lastele vanuses 13–17 aastat: registreerimine Pop-Up ja video postitamine Pop-Up. Analüüsis leiti, et mõlemad hüpikaknad ei esitanud kasutajale objektiivsel ja neutraalsel viisil suvandeid.
Registreerimise Pop-Up anti lastele võimalus valida avalik konto, valides parempoolse nupu „Skip“, millel oleks seejärel astmeline mõju lapse privaatsusele platvormil, näiteks tehtes laste loodud videosisu kommentaarid ligipääsetavaks.
Videopostituse Pop-Up, lapsed olid nügitud klikkima „Postita Nüüd“, mis esitati paksus tumedamas tekstis, mis asub paremal pool, mitte heledamat nuppu „tühista“. Kasutajad, kes soovisid oma postitust privaatseks muuta, pidid kõigepealt valima „tühista“ ja seejärel otsima privaatsusseadeid, et minna üle „privaatkontole“. Seetõttu julgustati kasutajaid valima avalike vaikimisi seadeid, kusjuures TikTok tegi neile raskemaks teha valikuid, mis soodustasid nende isikuandmete kaitset. Lisaks olid eri valikuvõimaluste tagajärjed ebaselged, eriti lastest kasutajate jaoks. Euroopa Andmekaitsenõukogu kinnitas, et vastutavad töötlejad ei tohiks andmesubjektidel raskendada oma privaatsusseadete kohandamist ja töötlemist piirata.
Euroopa Andmekaitsenõukogu leidis ka, et kõnealuse tegevuse tõttu rikkus TikTok isikuandmete kaitse üldmääruses sätestatud õigluse põhimõtet. Sellest tulenevalt tegi Euroopa Andmekaitsenõukogu Iiri andmekaitseasutusele ülesandeks lisada oma lõppotsusesse järeldus selle täiendava rikkumise kohta ja kohustada TikToki järgima isikuandmete kaitse üldmäärust, kõrvaldades sellised projekteerimistavad.
Euroopa Andmekaitsenõukogu hindas ka seda, kas TikToki poolt 31. juulist kuni 31. detsembrini 2020 rakendatud vanusekontrolli meetmed vastavad lõimitud andmekaitse nõuetele (isikuandmete kaitse üldmääruse artikli 25 lõige 1). Euroopa Andmekaitsenõukogu väljendas tõsist kahtlust TikToki poolt sel ajavahemikul kehtestatud vanusekontrolli meetmete tõhususe suhtes, võttes eelkõige arvesse suure arvu mõjutatud lastega seotud riskide tõsidust. Muu hulgas leidis Euroopa Andmekaitsenõukogu, et TikToki poolt kasutusele võetud vanusepiirist, mille eesmärk on takistada alla 13-aastastel lapskasutajatel platvormile juurde pääseda, on lihtne kõrvale hoida ning et meetmeid, mida kohaldati pärast seda, kui kasutajad said juurdepääsu TikTokile, ei kohaldatud piisavalt süstemaatiliselt.
Käesoleva vaidluste lahendamise menetluse raames kättesaadavate elementide põhjal järeldas Euroopa Andmekaitsenõukogu, et tal ei ole piisavalt teavet, eelkõige tehnika taseme kohta, et lõplikult hinnata TikToki vastavust isikuandmete kaitse üldmääruse artikli 25 lõikele 1. Võttes aga arvesse tõsiseid kahtlusi TikToki valitud meetmete tõhususe suhtes, nõudis Euroopa Andmekaitsenõukogu, et Iirimaa andmekaitseasutus kajastaks seda oma lõplikus otsuses.
Iirimaa andmekaitseasutuse lõpliku otsusega lisatakse õiguslik hinnang, mille Euroopa Andmekaitsenõukogu esitas oma siduvas otsuses. See otsus võeti vastu isikuandmete kaitse üldmääruse artikli 65 lõike 1 punkti a alusel pärast seda, kui Iirimaa andmekaitseasutus kui juhtiv järelevalveasutus algatas vaidluste lahendamise menetluse seoses mõne asjaomase järelevalveasutuse esitatud vastuväidetega. Nendes vastuväidetes kirjeldati eespool kirjeldatud Euroopa Andmekaitsenõukogu otsuse ulatust.
IE DPA lõplik otsus sisaldab ka õiguslikku hinnangut, mille suhtes pädevad järelevalveasutused vastuväiteid ei esitanud, nagu järeldus, et vaikimisi avalikud seaded on vastuolus lõimitud ja vaikimisi andmekaitse, võimalikult väheste andmete kogumise ja läbipaistvuse põhimõtetega. Lisaks noomitusele ja täitmismäärusele määras IE DPA 345 miljoni euro suuruse trahvi.
Iirimaa andmekaitseasutuse lõplik otsus on kättesaadav järelevalveasutuste ja kohtute otsuste registris järjepidevuse mehhanismi raames käsitletavates küsimustes.
Toimetaja märkus:
Käesolev otsus ei piira mis tahes hinnanguid, mida Euroopa Andmekaitsenõukogu võib paluda teha muudel juhtudel, sealhulgas samade pooltega. Euroopa Andmekaitsenõukogu siduvad otsused käsitlevad üksnes erimeelsusi otsuse eelnõu suhtes, mille asjaomased järelevalveasutused on esitanud asjakohastes ja põhjendatud vastuväidetes.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.