Bruselj, 15. septembra – Irski organ za varstvo podatkov je po zavezujoči odločitvi Evropskega odbora za varstvo podatkov (v nadaljevanju: EOVP) o reševanju sporov izdal končno odločbo, v kateri je zlasti ugotovil, da je podjetje TikTok Technology Limited (TikTok) kršilo načelo pravičnosti iz Splošne uredbe o varstvu podatkov pri obdelavi osebnih podatkov v zvezi z otroki, starimi od 13 do 17 let. Sklep EOVP je bil izdan 2. avgusta 2023 in zajema dejavnosti obdelave podjetja TikTok med 31. julijem in 31. decembrom 2020.
Predsednica EOVP Anu Talus je povedala: „Družbeni mediji so odgovorni, da se izognejo nepravičnemu prikazu izbir uporabnikom, zlasti otrokom, še posebej če lahko ta prikaz spodbudi ljudi k sprejemanju odločitev, ki kršijo njihovo zasebnost. Možnosti izbire v zvezi z zasebnostjo bi morale biti zagotovljene na objektiven in nevtralen način, pri čemer bi se bilo treba izogibati kakršnim koli zavajajočem ali manipulativnem jeziku ali oblikovanju. S tem sklepom EOVP ponovno poudarja, da morajo biti digitalni akterji še posebej previdni in sprejeti vse potrebne ukrepe za zaščito pravic otrok do varstva podatkov.“
EOVP je v svoji zavezujoči odločitvi analiziral oblikovalske prakse, ki jih je podjetje TikTok izvajalo v okviru dveh pojavnih obvestil, ki sta bili prikazani otrokom, starim od 13 do 17 let: pojavno okno za registracijo in pojavno okno za objavo videoposnetkov. Analiza je pokazala, da obe pojavni okni uporabniku nista predstavili možnosti na objektiven in nevtralen način.
Pri pojavnem oknu za registracijo se je otroke spodbujalo k izbiri javnega računa, tako da so izbrali desni gumb z oznako „preskoči“, kar bi nato imelo kaskadni učinek na otrokovo zasebnost na platformi, na primer z omogočanjem možnosti komentiranja video vsebin, ki so jih ustvarili otroci.
Pri pojavnem oknu za objavo videoposnetkov se je otroke spodbujalo, da kliknejo na gumb „objavi zdaj“, ki je bil predstavljen v krepkem, temnejšem besedilu, ki se je nahajalo na desni strani, namesto na svetlejšem gumbu za „prekliči“. Uporabniki, ki so želeli objaviti zasebno objavo so morali najprej izbrati gumb „prekliči“ in nato poiskati nastavitve zasebnosti, da bi preklopili na „zasebni račun“. Zato se je uporabnike spodbujalo, da se odločijo za privzete javne nastavitve, pri čemer je podjetje TikTok otežilo sprejem odločitve, ki so dajale prednost varstvu njihovih osebnih podatkov. Poleg tega so bile posledice različnih možnosti nejasne, zlasti za otroke. EOVP je potrdil, da upravljavci posameznikom, na katere se nanašajo osebni podatki, ne bi smeli otežiti prilagajanja nastavitev zasebnosti in omejiti obdelavo.
EOVP je tudi ugotovil, da je podjetje TikTok z zadevnimi praksami kršilo načelo pravičnosti iz Splošne uredbe o varstvu podatkov. Zato je EOVP irskem organu za varstvo podatkov naročil, naj v končno odločitev vključi ugotovitev te dodatne kršitve in podjetju TikTok naloži uskladitev s Splošno uredbo o varstvu podatkov z odpravo takih oblikovalskih praks.
EOVP je ocenil tudi, ali so ukrepi za preverjanje starosti, ki jih je TikTok izvedel med 31. julijem in 31. decembrom 2020, skladni z zahtevami glede vgrajenega varstva podatkov (prvi odstavek 25. člena Splošne uredbe o varstvu podatkov). EOVP je izrazil resne pomisleke glede učinkovitosti ukrepov za preverjanje starosti, ki jih je podjetje TikTok sprejelo v tem obdobju, zlasti ob upoštevanju resnosti tveganj za veliko število prizadetih otrok. EOVP je med drugim ugotovil, da bi bilo mogoče starostno mejo, ki jo je podjetje TikTok uporabilo za preprečevanje dostopa do platforme otrokom, mlajšim od 13 let, zlahka zaobiti in da se ukrepi, ki so se uporabljali po tem, ko so uporabniki pridobili dostop do TikToka, niso dovolj sistematično izvajali.
EOVP je na podlagi dostopnih elementov v okviru tega postopka reševanja sporov sklenil, da ni imel zadostnih informacij, zlasti v zvezi z najsodobnejšo tehnologijo, da bi dokončno ocenil skladnost podjetja TikTok s prvim odstavkom 25. člena Splošne uredbe o varstvu podatkov v tem obdobju. Vendar je EOVP ob upoštevanju resnih dvomov glede učinkovitosti ukrepov, ki jih je izbralo podjetje TikTok, od irskega organa za varstvo podatkov zahteval, da to upošteva v svoji končni odločitvi.
Končna odločitev irskega organa za varstvo podatkov vključuje pravno oceno, ki jo je EOVP izrazil v svoji zavezujoči odločitvi. Ta odločitev je bila sprejeta na podlagi točke (a) prvega odstavka 65. člena Splošne uredbe o varstvu podatkov, potem ko je irski organ za varstvo podatkov kot vodilni nadzorni organ sprožil postopek reševanja sporov v zvezi z ugovori nekaterih zadevnih nadzornih organov. Ti ugovori so opredelili obseg zgoraj opisanega sklepa EOVP.
Končna odločitev irskega nadzornega organa za varstvo podatkov vključuje tudi pravno presojo, ki ni bila predmet ugovorov zadevnih nadzornih organov, kot je ugotovitev, da so bile privzete nastavitve javnosti v nasprotju z načeli vgrajenega in privzetega varstva podatkov, najmanjšega obsega podatkov in preglednosti. Irski nadzorni organ za varstvo podatkov je poleg opomina in odredbe o uskladitvi naložil globo v višini 345 milijonov EUR.
Končna odločitev, ki jo je sprejel irski organ za varstvo podatkov, je na voljo v Registru odločb, ki jih sprejmejo nadzorni organi in sodišča o vprašanjih, obravnavanih v okviru mehanizma za skladnost.
Opomba urednika:
Ta sedanja odločitev ne posega v nobeno oceno, ki bi jo EOVP lahko moral opraviti v drugih primerih, tudi z istimi strankami. Zavezujoče odločitve EOVP obravnavajo le nesoglasja glede osnutka sklepa, ki jih nadzorni organi navedejo v ustreznih in utemeljenih ugovorih.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.