Bruxelles, 15. rujna – Nakon obvezujuće odluke o rješavanju spora Europskog odbora za zaštitu podataka irsko tijelo za zaštitu podataka donijelo je konačnu odluku u kojoj je, među ostalim, utvrdilo da je poduzeće TikTok Technology Limited (TikTok) povrijedilo načelo poštenosti iz OUZP-a pri obradi osobnih podataka o djeci u dobi od 13 do 17 godina. Odluka EDPB-a donesena je 2. kolovoza 2023. i obuhvaća aktivnosti obrade koje je TikTok provodio u razdoblju od 31. srpnja do 31. prosinca 2020.
Anu Talus, predsjednica EDPB-a, izjavila je: „Poduzeća u sektoru društvenih medija ne smiju nepošteno predstavljati mogućnosti izbora korisnicima, posebno djeci, osobito ako bi to moglo potaknuti korisnike na donošenje odluka kojima se narušava njihova privatnost. Mogućnosti zaštite privatnosti trebale bi biti predstavljene objektivno i neutralno. Pritom bi trebalo izbjegavati sve vrste obmanjujućeg ili manipulativnog jezika, kao i takva tehnička rješenja. EDPB odlukom još jednom jasno daje do znanja da digitalni akteri moraju biti vrlo pažljivi i poduzeti sve potrebne mjere da zajamče prava djece na zaštitu podataka.”
U svojoj obvezujućoj odluci EDPB je analizirao TikTokova tehnička rješenja u kontekstu dviju obavijesti prikazanih djeci u dobi od 13 do 17 godina: skočni prozor za registraciju i skočni prozor pri objavi videozapisa. Analizom je utvrđeno da ni u jednom skočnom prozoru korisniku nisu predstavljene mogućnosti na objektivan i neutralan način.
U skočnom prozoru za registraciju djecu se potaknulo da se odluče za javni račun odabirom gumba na desnoj strani s oznakom „Preskoči”, što bi zatim utjecalo na njihovu privatnost na platformi jer bi, primjerice, komentari o videosadržaju koji su izradila djeca bili vidljivi javnosti.
U skočnom prozoru pri objavi videozapisa djecu se potaknulo da kliknu gumb „Objavi sada”, koji je prikazan podebljanim i tamnijim tekstom na desnoj strani, a ne gumb „Odustani”. Korisnici koji su htjeli da njihova objava bude privatna prvo su morali odabrati „Odustani”, a zatim potražiti postavke privatnosti kako bi prešli na „Privatni račun”. TikTok je stoga poticao korisnike da odaberu zadane postavke, pri čemu im je otežano donošenje odluka korisnih za zaštitu njihovih osobnih podataka. Osim toga, posljedice odabira različitih opcija bile su nejasne, posebno za djecu kao korisnike. EDPB je potvrdio da voditelji obrade ne bi trebali otežavati korisnicima da prilagode postavke privatnosti i ograniče obradu osobnih podataka.
EDPB je utvrdio i da je zbog predmetne prakse TikTok prekršio načelo poštenosti u skladu s OUZP-om. Stoga je EDPB odredio irskom tijelu za zaštitu podataka da u svoju konačnu odluku uključi to dodatno kršenje i naloži TikToku da se uskladi s OUZP-om i ukloni takva tehnička rješenja.
EDPB je ocjenjivao i jesu li mjere za provjeru dobi koje je TikTok primjenjivao od 31. srpnja do 31. prosinca 2020. bile u skladu sa zahtjevima tehničke zaštite podataka (članak 25. stavak 1. OUZP-a). EDPB je izrazio ozbiljne sumnje u pogledu učinkovitosti mjera za provjeru dobi koje je TikTok primjenjivao u tom razdoblju, posebno uzimajući u obzir ozbiljnost rizika za velik broj djece na koju se to odnosi. EDPB je, među ostalim, utvrdio da bi se dobna granica koju je TikTok uveo kako bi spriječio djecu korisnike mlađe od 13 godina da pristupe platformi mogla lako zaobići te da se mjere predviđene nakon što su korisnici dobili pristup TikToku nisu dovoljno sustavno primjenjivale.
Na temelju elemenata dostupnih u kontekstu ovog postupka rješavanja spora EDPB je zaključio da nema dovoljno informacija, posebno u pogledu najnovijih dostignuća, kako bi u konačnici ocijenio je li TikTok postupao u skladu s člankom 25. stavkom 1 OUZP-a tijekom tog razdoblja. Međutim, s obzirom na ozbiljne sumnje u učinkovitost mjera koje je odabrao TikTok, EDPB je od irskog tijela za zaštitu podataka zatražio da to uzme u obzir u svojoj konačnoj odluci.
U konačnoj odluci irskog tijela za zaštitu podataka uzima se u obzir pravna ocjena koju je EDPB iznio u svojoj obvezujućoj odluci. Ta je odluka donesena na temelju članka 65. stavka 1. točke (a) OUZP-a nakon što je irsko tijelo za zaštitu podataka, kao vodeće nadzorno tijelo, pokrenulo postupak rješavanja spora u vezi s prigovorima koje su uložila neka predmetna nadzorna tijela. U tim je prigovorima navedeno prethodno opisano područje primjene odluke EDPB-a.
Konačna odluka irskog tijela za zaštitu podataka uključuje i pravnu procjenu koja nije bila predmet prigovora predmetnih nadzornih tijela, kao što je zaključak da su zadane postavke bile u suprotnosti s načelima tehničke i integrirane zaštite podataka, smanjenja količine podataka i transparentnosti. Uz ukor i nalog za usklađivanje irsko tijelo za zaštitu podataka izreklo je novčanu kaznu u iznosu od 345 milijuna EUR.
Konačna odluka koju je donijelo irsko tijelo za zaštitu podataka dostupna je u Registru odluka koje donose nadzorna tijela i sudovi o pitanjima koja se rješavaju u okviru mehanizma konzistentnosti.
Napomena urednika:
Ovom se odlukom ne dovode u pitanje procjene koje EDPB može provesti u drugim predmetima, među ostalim s istim stranama. Obvezujućim odlukama EDPB-a rješavaju se samo neslaganja o nacrtu odluke, koje predmetna nadzorna tijela navode u relevantnim i obrazloženim prigovorima.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.