Bruksela, 15 września – W następstwie wiążącej decyzji w sprawie rozstrzygnięcia sporu przyjętej przez Europejską Radę Ochrony Danych (EROD) irlandzki organ ochrony danych wydał ostateczną decyzję, w której w szczególności stwierdził naruszenie przez TikTok Technology Limited (TikTok) określonej w RODO zasady rzetelności przetwarzania danych osobowych dotyczących dzieci w wieku od 13 do 17 lat. Decyzja EROD została przyjęta 2 sierpnia 2023 r. i odnosi się ona do działań związanych z przetwarzaniem danych przez przedsiębiorstwo TikTok w okresie od 31 lipca do 31 grudnia 2020 r.
Przewodnicząca EROD Anu Talus powiedziała: „Media społecznościowe ponoszą odpowiedzialność za to, by unikać przedstawiania użytkownikom, szczególnie dzieciom, możliwości wyboru w nierzetelny sposób, zwłaszcza jeśli taka prezentacja może zachęcać użytkowników do podejmowania decyzji naruszających ochronę ich prywatności. Opcje dotyczące prywatności powinny być udostępniane w obiektywny i neutralny sposób, tak by uniknąć wszelkiego wprowadzania w błąd lub manipulacji za pomocą języka czy rozwiązania projektowego. W decyzji tej EROD ponownie wyjaśnia, że podmioty cyfrowe muszą zachować szczególną ostrożność i podjąć wszelkie niezbędne środki w celu zagwarantowania prawa dzieci do ochrony ich danych”.
EROD w swojej wiążącej decyzji przeanalizowała praktyki projektowe stosowane przez TikToka w kontekście dwóch powiadomień wyświetlanych nastolatkom w wieku 13–17 lat: okna pojawiającego się przy rejestracji i okna przy publikowaniu filmików. W wyniku analizy stwierdzono, że w przypadku obu tych okien opcje nie były przedstawiane użytkownikowi w sposób obiektywny i neutralny.
W oknie pojawiającym się przy rejestracji sugerowano dzieciom wybranie konta publicznego poprzez wybór prawego przycisku oznaczonego jako „Pomiń”, co miało bardzo duży wpływ na prywatność dziecka na platformie, na przykład przez udostępnianie komentarzy do treści wideo stworzonych przez dzieci.
W oknie pojawiającym się przy publikowaniu filmików dzieci były „nakłaniane”, aby zamiast jaśniejszego przycisku „Anuluj” kliknęły przycisk „Opublikuj teraz”, który był wyświetlany pogrubionym, ciemniejszym tekstem umieszczonym po prawej stronie. Użytkownicy, którzy chcieli oznaczyć swój post jako prywatny, musieli najpierw wybrać opcję „Anuluj”, a następnie poszukać ustawień prywatności, aby przejść na „konto prywatne”. TikTok zachęcał zatem użytkowników do wyboru domyślnych ustawień publicznych, utrudniając im dokonywanie wyborów korzystnych dla ochrony ich danych osobowych. Ponadto konsekwencje wyboru różnych opcji były niejasne, zwłaszcza dla użytkowników będących dziećmi. EROD potwierdziła, że administratorzy nie powinni utrudniać osobom, których dane dotyczą, dostosowania ustawień prywatności i ograniczenia przetwarzania ich danych osobowych.
EROD stwierdziła również, że w wyniku przedmiotowych praktyk TikTok naruszył zasadę rzetelności przewidzianą w RODO. W związku z tym EROD poinstruowała irlandzki organ ochrony danych, aby w swojej ostatecznej decyzji uwzględnił stwierdzenie tego dodatkowego naruszenia i nakazał TikTokowi przestrzeganie przepisów RODO poprzez położenie kresu tego rodzaju praktykom projektowym.
EROD oceniła również, czy środki weryfikacji wieku wdrożone przez TikToka w okresie od 31 lipca do 31 grudnia 2020 r. były zgodne z wymogami uwzględniania ochrony danych w fazie projektowania (art. 25 ust. 1 RODO). EROD wyraziła poważne wątpliwości co do skuteczności mechanizmu weryfikacji wieku wprowadzonego przez TikToka w tym okresie, zwłaszcza biorąc pod uwagę wysoki stopień ryzyka dla dużej liczby dzieci, których to dotyczyło. EROD stwierdziła między innymi, że bramkę wiekową stosowaną przez TikToka po to, by uniemożliwić młodszym użytkownikom w wieku poniżej 13 lat dostęp do platformy, można było łatwo obejść, a środki stosowane po uzyskaniu przez użytkowników dostępu do TikToka nie były stosowane wystarczająco systematycznie.
Na podstawie elementów dostępnych w kontekście przedmiotowej procedury rozstrzygania sporów EROD stwierdziła, że nie posiada wystarczających informacji, w szczególności jeśli chodzi o aktualny stan wiedzy, aby ostatecznie ocenić, czy TikTok przestrzegał art. 25 ust. 1 RODO w tym okresie. Niemniej jednak, z uwagi na poważne wątpliwości co do skuteczności środków wybranych przez TikToka, EROD zwróciła się do irlandzkiego organu ochrony danych o uwzględnienie tego faktu w swojej ostatecznej decyzji.
Ostateczna decyzja irlandzkiego organu ochrony danych uwzględnia ocenę prawną wyrażoną przez EROD w swojej wiążącej decyzji. Decyzja ta została przyjęta na podstawie art. 65 ust. 1 lit. a) RODO po tym, jak irlandzki organ ochrony danych, jako wiodący organ nadzorczy, uruchomił procedurę rozstrzygnięcia sporu dotyczącego sprzeciwów wniesionych przez niektóre organy nadzorcze, których sprawa dotyczy. Sprzeciwy te dotyczyły zakresu decyzji EROD, opisanej powyżej.
Ostateczna decyzja irlandzkiego organu ochrony danych obejmuje również ocenę prawną, która nie była przedmiotem sprzeciwów organów nadzorczych, których sprawa dotyczy. Chodzi np. o ustalenie, czy domyślne ustawienia publiczne były sprzeczne z zasadami uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych, minimalizacji danych i przejrzystości. Oprócz upomnienia i nakazu zapewnienia zgodności z przepisami irlandzki organ ochrony danych nałożył karę pieniężną w wysokości 345 mln euro.
Ostateczna decyzja przyjęta przez irlandzki organ ochrony danych jest dostępna w rejestrze decyzji przyjętych przez organy nadzorcze i sądy w sprawach rozpatrywanych w ramach mechanizmu spójności.
Uwaga redakcyjna:
Decyzja ta nie ma wpływu na wszelkie późniejsze oceny, których EROD może dokonać w innych sprawach, również z udziałem tych samych stron. Wiążące decyzje EROD dotyczą wyłącznie rozbieżnych stanowisk co do projektu decyzji, które organy nadzorcze, których sprawa dotyczy, przedstawiają w formie mających znaczenie dla sprawy i uzasadnionych sprzeciwów.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.