Rugsėjo 15 d., Briuselis. Europos duomenų apsaugos valdybai (EDAV) priėmus privalomą sprendimą dėl ginčo išsprendimo, Airijos duomenų apsaugos institucija (IE DAI) priėmė galutinį sprendimą, kuriame visų pirma nustatė, kad įmonė „TikTok Technology Limited“ (toliau – „TikTok“), tvarkydama 13–17 metų amžiaus vaikų asmens duomenis, pažeidė BDAR nustatytą sąžiningumo principą. EDAV sprendimas priimtas 2023 m. rugpjūčio 2 d. ir apima įmonės „TikTok“ duomenų tvarkymo veiklą nuo 2020 m. liepos 31 d. iki gruodžio 31 d.
EDAV pirmininkė Anu Talus teigė: „Socialinės žiniasklaidos įmonės yra atsakingos už tai, kad naudotojams, ypač vaikams, pasirinkimo galimybės nebūtų pateikiamos nesąžiningai, ypač jei toks pateikimas gali paskatinti žmones priimti sprendimus, kuriais pažeidžiami jų privatumo interesai. Su privatumu susijusios pasirinkimo galimybės turėtų būti pateikiamos objektyviai ir neutraliai, vengiant bet kokios klaidinančios ar manipuliacinės kalbos ar dizaino. Šiuo sprendimu EDAV dar kartą aiškiai parodo, kad skaitmeninių paslaugų teikėjai turi būti itin atsargūs ir imtis visų būtinų priemonių vaikų duomenų apsaugos teisėms užtikrinti.“
Savo privalomame sprendime EDAV išnagrinėjo įmonės „TikTok“ taikomą dizaino praktiką, susijusią su dviem iškylančiaisiais pranešimais, kurie buvo rodomi 13–17 metų vaikams, t. y. registracijos iškylančiuoju langu ir vaizdo įrašų skelbimo iškylančiuoju langu. Atlikus analizę nustatyta, kad abiejuose iškylančiuosiuose languose pasirinkimo galimybės naudotojui nebuvo pateiktos objektyviai ir neutraliai.
Registracijos iškylančiajame lange vaikai buvo skatinami susikurti viešą paskyrą, pasirenkant dešinėje pusėje esantį mygtuką „Praleisti“, kurio paspaudimas vėliau turėtų pakopinį poveikį vaiko privatumui platformoje, pavyzdžiui, būtų leidžiama komentuoti vaikų sukurtą vaizdo įrašų turinį.
Vaizdo įrašų skelbimo iškylančiajame lange vaikai buvo skatinami paspausti mygtuką „Skelbti“, pateikiamą paryškintu, tamsesniu tekstu dešinėje pusėje, o ne šviesesnį mygtuką „Atšaukti“. Naudotojai, kurie norėjo, kad jų įrašas būtų privatus, pirmiausia turėjo paspausti mygtuką „Atšaukti“ ir tada ieškoti privatumo nustatymų, kad galėtų padaryti savo paskyrą privačią. Taigi naudotojai buvo skatinami rinktis numatytuosius viešus nustatymus, įmonei „TikTok“ apsunkinant jų galimybę pasirinkti tuos nustatymus, kurie būtų palankesni jų asmens duomenų apsaugai. Be to, skirtingų pasirinkimo galimybių pasekmės buvo neaiškios, ypač vaikams naudotojams. EDAV patvirtino, kad duomenų valdytojai neturėtų trukdyti duomenų subjektams koreguoti savo privatumo nustatymus ir riboti duomenų tvarkymą.
EDAV taip pat nustatė, kad vykdydama aptariamą praktiką įmonė „TikTok“ pažeidė BDAR nustatytą sąžiningumo principą. Todėl EDAV nurodė IE DAI į savo galutinį sprendimą įtraukti išvadą dėl šio papildomo pažeidimo ir įpareigoti įmonę „TikTok“ laikytis BDAR nutraukiant tokią dizaino praktiką.
EDAV taip pat įvertino, ar nuo 2020 m. liepos 31 d. iki gruodžio 31 d. įmonės „TikTok“ įgyvendintos amžiaus patikros priemonės atitiko pritaikytosios duomenų apsaugos reikalavimus (BDAR 25 straipsnio 1 dalis). EDAV išreiškė rimtų abejonių dėl įmonės „TikTok“ šiuo laikotarpiu taikytų amžiaus patikros priemonių veiksmingumo, ypač atsižvelgiant į rizikos, kilusios dideliam nukentėjusių vaikų skaičiui, mastą. Be kita ko, EDAV nustatė, kad įmonės „TikTok“ taikomą amžiaus patikros sistemą, neleidžiančią naudotis platforma jaunesniems nei 13 metų amžiaus naudotojams, galima lengvai apeiti, o priemonės, taikomos naudotojams gavus prieigą prie platformos „TikTok“, buvo taikomos nepakankamai sistemingai.
EDAV, remdamasi šioje ginčų sprendimo procedūroje turimais duomenimis, padarė išvadą, kad ji neturi pakankamai informacijos, ypač susijusios su techninių galimybių išsivystymo lygiu, kad galėtų galutinai įvertinti, ar įmonė „TikTok“ šiuo laikotarpiu laikėsi BDAR 25 straipsnio 1 dalies nuostatų. Tačiau EDAV, atsižvelgdama į rimtas abejones dėl įmonės „TikTok“ pasirinktų priemonių veiksmingumo, pareikalavo, kad IE DAI atsižvelgtų į tai savo galutiniame sprendime.
IE DAI savo galutiniame sprendime atsižvelgė į EDAV privalomame sprendime pateiktą teisinį vertinimą. Šis sprendimas buvo priimtas remiantis BDAR 65 straipsnio 1 dalies a punktu po to, kai IE DAI, kaip vadovaujanti priežiūros institucija, pradėjo ginčų sprendimo procedūrą dėl kai kurių susijusių priežiūros institucijų pateiktų prieštaravimų. Remiantis šiais prieštaravimais buvo apibrėžta pirmiau aprašyta EDAV sprendimo taikymo sritis.
IE DAI savo galutiniame sprendime taip pat pateikė teisinį vertinimą, dėl kurio susijusios priežiūros institucijos prieštaravimų nepateikė, pavyzdžiui, išvadą, kad numatytieji vieši nustatymai prieštarauja pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos, duomenų kiekio mažinimo ir skaidrumo principams. Be papeikimo ir įpareigojimo laikytis reikalavimų, IE DAI įmonei „TikTok“ skyrė 345 mln. EUR baudą.
Galutinį IE DAI priimtą sprendimą galima rasti Priežiūros institucijų ir teismų sprendimų dėl klausimų, nagrinėtų taikant nuoseklumo užtikrinimo mechanizmą, elektroniniame registre.
Redaktoriaus pastaba.
Šis sprendimas nedaro poveikio jokiems kitiems vertinimams, kuriuos EDAV gali būti paprašyta atlikti dėl kitų atvejų, įskaitant atvejus su tomis pačiomis šalimis. EDAV privalomuose sprendimuose nagrinėjami tik nesutarimai dėl sprendimo projekto, kuriuos susijusios priežiūros institucijos pateikia tinkamuose ir pagrįstuose prieštaravimuose.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.