Kontekst decyzji

Śledztwo DPC w sprawie TikToka rozpoczęło się 14 września 2021 roku po wnioskach zarówno holenderskiego organu ochrony danych (AP), jak i francuskiego organu ochrony danych (CNIL) z 2021 roku o udzielenie wzajemnej pomocy w związku z badaniami rozpoczętymi przez odpowiednie organy nadzorcze. W szczególności DPC wyjaśniło, że śledztwo dotyczące TikToka odnosi się do przetwarzania danych osobowych w okresie od 31 lipca 2020 roku do 31 grudnia 2020 roku.

DPC przekazało projekt decyzji wszystkim zainteresowanym organom nadzorczym na podstawie art. 60 ust. 3 GDPR 13 września 2022 roku, proponując naruszenia art. 5 ust. 1 lit. c, art. 5 ust. 1 lit. f, art. 12 ust. 1, art. 13 ust. 1 lit. e, art. 24 ust. 1, art. 25 ust. 1 i art. 25 ust. 2 RODO, jednak zarówno włoski organ ochrony danych (Garante), jak i berliński organ ochrony danych działający w imieniu organu ochrony danych Baden-Württemberg (LfDI Baden-Württemberg) zgłosili sprzeciw wobec projektu decyzji.

Wnioski DPC

W szczególności DPC stwierdziło, że ustawienia profilu dla dzieci korzystających z TikToka były domyślnie ustawione jako publiczne, co pozwalało każdemu na przeglądanie treści zamieszczanych przez dzieci. Dlatego DPC uznało, że TikTok nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić, że domyślnie przetwarzane były jedynie dane osobowe niezbędne do przetwarzania przez TikTok. W związku z tym TikTok naruszył zasadę ochrony danych domyślnie i według projektu, naruszył art. 5 ust. 1 lit. c, art. 25 ust. 1 i art. 25 ust. 2 GDPR.

Ponadto DPC stwierdziło, że wprowadzenie domyślnego ustawienia konta dla dzieci, które umożliwiało każdemu przeglądanie treści w mediach społecznościowych zamieszczanych przez dzieci, nie uwzględniało możliwych zagrożeń dla praw i wolności dzieci korzystających z platformy. Stąd TikTok został uznany za to, że nie wdrożył odpowiednich środków technicznych i organizacyjnych, naruszając art. 24 ust. 1 GDPR. Podobnie ustawienie profili dzieci na publiczne zostało uznane za ryzykowne dla dzieci poniżej 13 roku życia. W rezultacie TikTok naruszył także art. 24 ust. 1 RODO.

Należy zaznaczyć, że DPC stwierdziło, że TikTok wdrożył ustawienie platformy o nazwie „Family Pairing” dla dzieci, dzięki któremu osoba niebędąca dzieckiem mogła połączyć swoje konto z kontem dziecka, umożliwiając bezpośrednią wymianę wiadomości między użytkownikami niebędącymi dziećmi a dziećmi powyżej 16 roku życia. Przetwarzanie takie według DPC nie zapewniało odpowiedniego zabezpieczenia danych osobowych, a zaniedbanie TikToka w zakresie zasady integralności i poufności uznano za naruszenie art. 5 ust. 1 lit. f oraz art. 25 ust. 1 RODO.

DPC stwierdziło również, że TikTok nie dostarczał dzieciom informacji na temat kategorii odbiorców lub kategorii odbiorców danych osobowych, naruszając art. 13 ust. 1 lit. e GDPR. Kiedy TikTok nie dostarczał dzieciom informacji na temat zakresu i konsekwencji przetwarzania domyślnego, w sposób zwięzły, przejrzysty i zrozumiały, DPC uznał to za naruszenie art. 12 ust. 1 RODO.

Wreszcie DPC ustaliło, że TikTok wdrożył tzw. „ciemne wzorce”, przekierowując użytkowników ku bardziej inwazyjnym opcjom podczas procesu rejestracji i zamieszczania filmów. W związku z tym TikTok naruszył art. 5 ust. 1 lit. a RODO.

Konsekwencje

W związku z tym DPC wydało nagrodę za naruszenia RODO, rozpoznając powagę tych naruszeń.

Ponadto DPC wydało decyzję korygującą na podstawie art. 58 ust. 2 lit. d RODO, nakazując TikTokowi dostosowanie swojego przetwarzania do przepisów GDPR w ciągu trzech miesięcy od powiadomienia o decyzji.

Wreszcie DPC nałożyło karę administracyjną w wysokości 345 milionów euro.

Więcej: https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl