Nakon dvogodišnje istrage, Irska komisija za zaštitu podataka (DPC) je objavila da Tiktok nije ispunio svoje obveze u vezi s obradom osobnih podataka djece.
Irsko nadzorno tijelo (DPC) donijelo je svoju konačnu odluku u vezi s istragom o TikTok Technology Limited (TTL) 1. rujna 2023. DPC je naložio da uskladi svoju obradu poduzimanjem navedenih radnji u roku od tri mjeseca i odredio administrativnu kaznu u ukupnom iznosu od 345 milijuna eura.
Utvrđeno je da TikTok nije proveo odgovarajuće tehničke i organizacijske mjere budući da nije ispravno razmotrio određene rizike za mlađe od 13 godina koji su dobili pristup platformi budući da je zadana postavka računa dopuštala bilo kome (na ili izvan TikToka) da vidi medijski sadržaj koji korisnici objavljuju.
Postavke koje je TikTok implementirao omogućile su maloljetnim ispitanicima da dovrše postupak registracije na takav način da su njihovi računi prema zadanim postavkama bili javni. "To je također značilo da su, na primjer, videozapisi koji su objavljeni na računima maloljetnih korisnika prema zadanim postavkama bili javni, komentari su bili javno omogućeni prema zadanim postavkama te značajke 'Duet' i 'Stitch' bile su omogućene prema zadanim postavkama", napominje DPC .
Račun maloljetnika također se može "upariti" s neprovjerenim korisnikom koji nije dijete - putem takozvane značajke "Obiteljsko uparivanje" - ali TikTok nije provjeravao je li korisnik zapravo roditelj ili skrbnik djeteta.
"Kritike DPC-a usmjerene su na značajke i postavke koje su bile na snazi prije tri godine i koje smo promijenili mnogo prije nego što je istraga uopće započela, poput postavljanja svih računa mlađih od 16 godina na privatne prema zadanim postavkama", izjavili su iz TikToka i najavili žalbu na visinu kazne.
DPC je također razmotrio obveze transparentnosti, uključujući kako su informacije dane djeci korisnicima u odnosu na zadane postavke.
Njegovi preliminarni nalazi (nacrt odluke) utvrdili su nešto manje kršenja GDPR-a nego što je potvrđeno današnjom konačnom odlukom. No dva druga tijela (talijanski DPA i berlinsko tijelo) iznijela su primjedbe na nacrt odluke, a neslaganje je proslijeđeno Europskom odboru za zaštitu podataka (EDPB) da donese obvezujuću odluku — koji se složio da bi također trebalo utvrditi kršenje načela transparentnosti GDPR-a.
EDPB je rekao da njegova obvezujuća odluka uključuje analizu koju je poduzeo o dizajnerskim praksama koje provodi TikTok u kontekstu dviju skočnih obavijesti koje su prikazane djeci u dobi od 13 do 17 godina (skočni prozor za registraciju i skočni prozor za objavu videozapisa) — oba za koje je utvrdio da nisu predstavile opcije korisniku na objektivan i neutralan način. Platforma je putem "dark patterns-a" pokušala potaknuti korisnike na odabir opcija koje više ugrožavaju privatnost – kako tijekom registracije, tako i prilikom objave videa.
„U skočnom prozoru za registraciju djeca su bila ponukana da se odluče za javni račun odabirom gumba s desne strane s oznakom 'Preskoči', što bi potom imalo učinak na privatnost djeteta na platformi”, napisao je EDPB u priopćenju za javnost.
“U skočnom prozoru za objavljivanje videozapisa, ispitanici su bili potaknuti da kliknu na "Objavi sada", prikazano podebljanim, tamnijim tekstom smještenim na desnoj strani, umjesto na svjetliji gumb za "otkaži". Korisnici koji su željeli svoju objavu učiniti privatnom prvo su trebali odabrati "otkaži", a zatim potražiti postavke privatnosti kako bi se prebacili na 'privatni račun'. Stoga su korisnici potaknuti da izaberu javno postavljene postavke, pri čemu im je TikTok otežavao odabire koji favoriziraju zaštitu njihovih osobnih podataka. Nadalje, posljedice različitih opcija bile su nejasne, osobito korisnicima koji su maloljetnici.
"EDPB je potvrdio da voditelji obrade ne bi trebali otežavati ispitanicima da prilagode svoje postavke privatnosti i ograniče obradu."
Što se tiče provjere dobi, Odbor je također bio zabrinut je li TikTokov pristup u skladu sa zahtjevom GDPR-a za zaštitu podataka po dizajnu — i izrazio je „ozbiljne sumnje u pogledu učinkovitosti mjera provjere dobi koje je TikTok uveo tijekom ovog razdoblja, posebno uzimajući u obzir ozbiljnost rizika za velik broj pogođene djece”; otkrivši, na primjer, da se dobna granica koju je postavio TikTok može "lako zaobići i da mjere primijenjene nakon što su korisnici dobili pristup TikToku nisu primijenjene na dovoljno sustavan način".
Međutim, zaključio je da nema dovoljno informacija, posebno u vezi s najsuvremenijom tehnologijom za provjeru dobi, kako bi konačno procijenio ovu komponentu usklađenosti TikToka tijekom tog razdoblja. Stoga odluka ne utvrđuje povredu u vezi s provjerom dobi.
Regulator privatnosti Ujedinjenog Kraljevstva, ICO, izdao je vlastitu kaznu TikToku ranije ove godine — također u vezi s njegovim rukovanjem podacima djece — dosuđujući novčanu kaznu od ~15,7 milijuna dolara za kršenje režima zaštite podataka Ujedinjenog Kraljevstva između svibnja 2018. i srpnja 2020., uključujući i to što nije spriječio procijenjenih 1,4 milijuna maloljetnih korisnika da pristupe njegovoj platformi.