Brüsszel, szeptember 15. – Az Európai Adatvédelmi Testület kötelező erejű vitarendezési határozatát követően az ír adatvédelmi hatóság (IE DPA) végleges határozatot hozott, amelyben többek között megállapította, hogy a TikTok Technology Limited (TikTok) megsértette az általános adatvédelmi rendelet szerinti méltányosság elvét a 13 és 17 év közötti gyermekek személyes adatainak kezelése során. Az Európai Adatvédelmi Testület 2023. augusztus 2-án meghozott határozata a TikTok 2020. július 31. és december 31. közötti adatkezelési tevékenységeire terjed ki.
Anu Talus, az Európai Adatvédelmi Testület elnöke így nyilatkozott: „A közösségi médiavállalatok felelőssége, hogy a választási lehetőségeket ne tisztességtelen módon kínálják fel a felhasználók, különösen a gyermekek számára, kiváltképpen, ha e lehetőségek bemutatásának módja arra ösztönözheti az embereket, hogy a magánélethez fűződő érdekeiket sértő döntéseket hozzanak. A magánélet védelmével kapcsolatos választási lehetőségeket objektív és semleges módon kell bemutatni, elkerülve a megtévesztő vagy manipulatív nyelvezetet vagy megjelenítést. Ezzel a határozattal az Európai Adatvédelmi Testület ismét egyértelművé teszi, hogy a digitális szereplőknek fokozott gondossággal kell eljárniuk, és minden szükséges intézkedést meg kell tenniük a gyermekek adatvédelemhez fűződő jogainak védelme érdekében.”
Az Európai Adatvédelmi Testület a TikTok által a 13–17 éves gyermekeknek szóló két felugró értesítéssel összefüggésben alkalmazott tervezési gyakorlatokat elemezte kötelező erejű határozatában: a regisztrációkor megjelenő felugró ablak és a videók beküldésekor megjelenő felugró ablak. Az elemzés megállapította, hogy egyik felugró ablak sem objektív és semleges módon jelenítette meg a felhasználó előtt álló választási lehetőségeket.
A regisztrációkor megjelenő felugró ablakban a gyermekeket az „Átugrás” („Skip”) feliratú jobb oldali gomb megnyomásával a nyilvános fiók regisztrációjára buzdították, ami továbbgyűrűző hatást gyakorolhatott a gyermek magánéletére a platformon, például azáltal, hogy lehetővé tette a hozzászólást a gyermekek által megosztott videós tartalmakhoz.
A videó közzétételekor megjelenő felugró ablakban a gyermekeket a félkövér betűvel szedett, sötétebb színnel írt „Beküldés” („Post Now”) feliratra való rákattintásra ösztönzik, miközben az „Elvetés” („Cancel”) gomb világosabb színű. Azoknak a felhasználóknak, akik a közzéteendő tartalmat először privátra akarták beállítani, először ki kellett választaniuk az „Elvetés” („Cancel”) opciót, majd külön meg kellett keresniük az adatvédelmi beállításokat, hogy felhasználói fiókjukat privátra állíthassák át („private account”). Ezzel a TikTok a felhasználókat arra buzdította, hogy az alapértelmezett nyilvános beállításokat válasszák, és megnehezítette számukra, hogy a személyes adataik védelmét szem előtt tartva hozzanak erről döntést. Ezenkívül a különböző választási lehetőségek következményei sem voltak egyértelműek, különösen a gyermekkorú felhasználók számára. Az Európai Adatvédelmi Testület megerősítette, hogy az adatkezelők nem nehezíthetik meg az érintettek számára adatvédelmi beállításaik módosítását és az adatkezelés korlátozását.
Az Európai Adatvédelmi Testület megállapította, hogy a szóban forgó gyakorlatok következtében a TikTok megsértette az általános adatvédelmi rendelet szerinti méltányosság elvét. Következésképpen az Európai Adatvédelmi Testület utasította az ír adatvédelmi hatóságot, hogy végleges határozatába foglalja bele e további jogsértés megállapítását, és az ilyen tervezési gyakorlatok megszüntetésével kötelezze a TikTokat az általános adatvédelmi rendeletnek való megfelelésre.
Az Európai Adatvédelmi Testület azt is megvizsgálta, hogy a TikTok által 2020. július 31. és december 31. között végrehajtott életkor-ellenőrzési intézkedések megfelelnek-e a beépített adatvédelem követelményeinek (ld. az általános adatvédelmi rendelet 25. cikkének (1) bekezdését). Az Európai Adatvédelmi Testület komoly kétségeit fejezte ki a TikTok által ebben az időszakban bevezetett életkor-ellenőrzési intézkedések hatékonyságával kapcsolatban, különös tekintettel az érintett gyermekek nagy számára jelentett kockázatok súlyosságára. Az Európai Adatvédelmi Testület többek között megállapította, hogy a TikTok által a 13 év alatti gyermekek számára a platformhoz való hozzáférés megakadályozása érdekében alkalmazott életkor-ellenőrzési eljárás könnyen kijátszható, és hogy a TikTokhoz történő hozzáférést követő, erre irányuló intézkedéseket nem alkalmazták kellően szisztematikus módon.
Az e vitarendezési eljárással összefüggésben rendelkezésre álló adatok alapján az Európai Adatvédelmi Testület arra a következtetésre jutott, hogy nem rendelkezik elegendő információval – különösen a technika jelenlegi állásával kapcsolatban – ahhoz, hogy kellő bizonyossággal értékelni tudja, hogy a TikTok ebben az időszakban megfelelt-e az általános adatvédelmi rendelet 25. cikke (1) bekezdésének. Figyelembe véve azonban a TikTok által választott intézkedések hatékonyságával kapcsolatos komoly kétségeket, az Európai Adatvédelmi Testület arra kötelezte az írországi adatvédelmi hatóságot, hogy ezt tartsa szem előtt végleges határozatában.
Az ír adatvédelmi hatóság végleges határozata magában foglalja az Európai Adatvédelmi Testület által a kötelező erejű határozatban kifejtett jogi értékelést. Ezt a határozatot az általános adatvédelmi rendelet 65. cikke (1) bekezdésének a) pontja alapján fogadták el azt követően, hogy az ír adatvédelmi hatóság mint fő felügyeleti hatóság vitarendezési eljárást indított egyes érintett felügyeleti hatóságok kifogásaival kapcsolatban. Ezek a kifogások képezték az Európai Adatvédelmi Testület fent ismertetett határozatának alapját.
Az ír adatvédelmi hatóság végleges határozata olyan jogi értékelést is tartalmaz, amellyel szemben az érintett felügyeleti hatóságok nem emeltek kifogást, például azt a megállapítást, hogy a alapértelmezett nyilvános beállítások ellentétesek voltak a beépített és alapértelmezett adatvédelem, az adatminimalizálás és az átláthatóság elvével. A megrováson és a megfelelési végzésen kívül az ír adatvédelmi hatóság 345 millió EUR bírságot szabott ki.
Az ír adatvédelmi hatóság által hozott végleges határozat elérhető a felügyeleti hatóságok és a bíróságok által az egységes alkalmazást célzó mechanizmus keretében kezelt ügyekkel kapcsolatban hozott határozatok nyilvántartásában.
Szerkesztői megjegyzés:
Ez a döntés nem érinti azokat az esetleges értékeléseket, amelyekre az Európai Adatvédelmi Testületet más, akár ugyanezeket a feleket érintő esetekben felkérhetik. Az Európai Adatvédelmi Testület kötelező erejű határozatai csak a döntéstervezetekkel kapcsolatos azon nézetkülönbségekre vonatkoznak, amelyeket az érintett felügyeleti hatóságok a releváns és indokolással ellátott kifogásaikban meghatároznak.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.