Brussel, 15 september — Naar aanleiding van het bindende besluit inzake geschillenbeslechting van het EDPB heeft de Ierse gegevensbeschermingsautoriteit een definitief besluit uitgevaardigd waarin met name is vastgesteld dat TikTok Technology Limited (TikTok) bij de verwerking van persoonsgegevens van kinderen tussen 13 en 17 jaar het billijkheidsbeginsel van de AVG heeft geschonden. Het besluit van het EDPB is uitgevaardigd op 2 augustus 2023 en heeft betrekking op verwerkingsactiviteiten van TikTok tussen 31 juli en 31 december 2020.
Anu Talus, voorzitter van het EDPB: “Socialemediabedrijven hebben de verantwoordelijkheid om te voorkomen dat keuzes op oneerlijke wijze worden gepresenteerd aan hun gebruikers, met name kinderen — vooral als die presentatie mensen ertoe kan aanzetten beslissingen te nemen die hun privacybelangen schenden. Keuzemogelijkheden die te maken hebben met privacy moeten op een objectieve en neutrale manier worden aangeboden, waarbij elke vorm van misleidende of manipulatieve taal of vormgeving wordt vermeden. Met dit besluit maakt het EDPB nogmaals duidelijk dat digitale spelers extra voorzichtig moeten zijn en alle nodige maatregelen moeten treffen om de rechten van kinderen op het gebied van gegevensbescherming te waarborgen.”
In dit bindende besluit heeft het EDPB de ontwerppraktijken van TikTok geanalyseerd in twee pop-upberichten die werden getoond aan kinderen van 13 tot 17 jaar: de pop-up om te registreren en de pop-up om filmpjes te posten. Uit de analyse bleek dat de keuzemogelijkheden in beide pop-ups niet op objectieve en neutrale wijze aan de gebruiker werden gepresenteerd.
In de pop-up om te registreren werden kinderen ertoe aangezet om een openbaar account te kiezen door op de rechtse “skip”-knop te klikken, wat op het platform vervolgens een cascade-effect op de privacy van het kind zou hebben, bijvoorbeeld door reacties op door kinderen gemaakte filmpjes toegankelijk te maken.
In de pop-up om filmpjes te posten werden kinderen ertoe aangezet om te klikken op “post now”, dat in een vet, donkerder lettertype aan de rechterkant stond, in plaats van op de lichter vormgegeven knop “cancel”. Gebruikers die hun post niet-openbaar wilden houden, moesten eerst “cancel” kiezen en daarna op zoek gaan naar de privacyinstellingen om over te schakelen op een “privé-account”. Daardoor werden gebruikers aangemoedigd om te kiezen voor de standaard openbare instelling, en maakte TikTok het voor hen moeilijker om te kiezen voor instellingen waarbij hun persoonsgegevens beter werden beschermd. Bovendien was het onduidelijk wat de gevolgen van de verschillende keuzemogelijkheden waren, vooral voor kinderen. Het EDPB heeft bevestigd dat verwerkingsverantwoordelijken het de betrokkenen niet moeilijk mogen maken om hun privacyinstellingen aan te passen en de verwerking van hun gegevens te beperken.
Het EDPB heeft ook vastgesteld dat TikTok, als gevolg van de desbetreffende praktijken, het billijkheidsbeginsel van de AVG heeft geschonden. Bijgevolg heeft het EDPB de Ierse gegevensbeschermingsautoriteit opgedragen in haar definitieve besluit een vaststelling van deze bijkomende inbreuk op te nemen en TikTok het bevel te geven de AVG na te leven en met dergelijke ontwerppraktijken te stoppen.
Het EDPB heeft ook beoordeeld of de maatregelen voor leeftijdscontrole die TikTok tussen 31 juli en 31 december 2020 heeft toegepast, voldeden aan de voorschriften van gegevensbescherming door ontwerp (artikel 25, lid 1, van de AVG). Het EDPB heeft ernstige twijfels geuit over de doeltreffendheid van de maatregelen voor leeftijdscontrole die TikTok in die periode heeft getroffen, met name gezien de ernst van de risico’s voor het grote aantal kinderen in kwestie. Het EDPB stelde onder meer vast dat het systeem voor leeftijdscontrole dat TikTok gebruikte om te voorkomen dat kinderen jonger dan 13 jaar toegang krijgen tot het platform, gemakkelijk kon worden omzeild en dat de maatregelen die werden toegepast nadat gebruikers toegang kregen tot TikTok, niet op voldoende systematische wijze werden toegepast.
Op basis van de elementen die in het kader van deze geschillenbeslechtingsprocedure beschikbaar zijn, concludeerde het EDPB dat het niet over voldoende informatie beschikte, met name met betrekking tot de stand van de techniek, om de naleving door TikTok van artikel 25, lid 1, van de AVG tijdens die periode afdoende te kunnen beoordelen. Gezien de ernstige twijfels over de doeltreffendheid van de door TikTok gekozen maatregelen, heeft het EDPB de Ierse gegevensbeschermingsautoriteit echter verzocht dit in haar definitieve besluit mee te nemen.
In het definitieve besluit van de Ierse gegevensbeschermingsautoriteit is de juridische beoordeling opgenomen die het EDPB in zijn bindende besluit heeft geformuleerd. Dat besluit werd vastgesteld op grond van artikel 65, lid 1, punt a), van de AVG nadat de Ierse gegevensbeschermingsautoriteit, als leidende toezichthoudende autoriteit, een geschillenbeslechtingsprocedure had ingeleid in verband met de bezwaren van sommige betrokken toezichthoudende autoriteiten. In die bezwaren werd de reikwijdte van het hierboven beschreven besluit van het EDPB uiteengezet.
Het definitieve besluit van de Ierse gegevensbeschermingsautoriteit omvat ook een juridische beoordeling waartegen de betrokken toezichthoudende autoriteiten geen bezwaar maakten, zoals de vaststelling dat de standaard openbare instelling in strijd was met de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen, van minimale gegevensverwerking en van transparantie. Naast een berisping en een nalevingsbevel heeft de Ierse gegevensbeschermingsautoriteit een boete van 345 miljoen euro opgelegd.
Het definitieve besluit van de Ierse gegevensbeschermingsautoriteit is beschikbaar in het register van besluiten van toezichthoudende autoriteiten en gerechten over in het kader van het coherentiemechanisme behandelde aangelegenheden.
Noot van de uitgever:
Dit huidige besluit loopt niet vooruit op eventuele beoordelingen van het EDPB in andere gevallen, ook met dezelfde partijen. Bindende besluiten van het EDPB hebben alleen betrekking op meningsverschillen over een ontwerpbesluit, die door de betrokken toezichthoudende autoriteiten in relevante en met redenen omklede bezwaren worden uiteengezet.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.