Bruxelles, 15. rujna 2023. – Nakon obvezujuće odluke Europskog odbora za zaštitu podataka, irsko tijelo za zaštitu podataka izdalo je konačnu odluku u kojoj je utvrđeno kako je TikTok Technology Limited (TikTok) prekršio načelo poštenosti iz Opće uredbe o zaštiti podataka, prilikom obrade osobnih podataka koji se odnose na djecu u dobi od 13 do 17 godina. Odluka Europskog odbora za zaštitu podataka objavljena je 2. kolovoza 2023. godine i obuhvaća TikTok-ove aktivnosti obrade između 31. srpnja i 31. prosinca 2020. godine.
Anu Talus, predsjednica Europskog odbora za zaštitu podataka, izjavila je: “Društveni mediji imaju odgovornost izbjegavati nuditi izbor korisnicima, a posebno djeci, na nepravedan način – posebno ako takav izbor može potaknuti ljude na donošenje odluka kojima se krši njihovo pravo na privatnost. Opcije koje se odnose na privatnost trebaju biti pružene na objektivan i neutralan način, izbjegavajući bilo kakav oblik obmanjujućeg ili manipulativnog jezika ili dizajna. Ovom odlukom Europski odbor za zaštitu podataka ponovno jasno stavlja do znanja da digitalni akteri moraju biti posebno oprezni i poduzeti sve potrebne mjere kako bi zaštitili prava djece na zaštitu podataka.”
U svojoj obvezujućoj odluci, Europski odbor za zaštitu podataka analizirao je tehnička rješenja koje je implementirao TikTok u kontekstu dvije skočne obavijesti koje su prikazane djeci u dobi od 13 do 17 godina: skočna obavijest o registraciji i skočna obavijest o objavljivanju videozapisa. Analiza je utvrdila kako nijedan od ta dva skočna prozora nisu korisnicima ponudili opcije na objektivan i neutralan način.
U skočnoj obavijesti o registraciji, djeca su bila potaknuta da odaberu javni račun pritiskom na gumb s desne strane nazvan “Preskoči”, što bi imalo kaskadni učinak na privatnost djeteta na platformi, odnosno istim se pokreće niz događaja koji mogu imati negativne posljedice za zaštitu osobnih podataka djece (primjerice komentiranje videozapisa koji su izradila djeca).
U skočnoj obavijesti o objavljivanju videozapisa, djecu se poticalo da kliknu na “Objavi sada”, prikazano podebljanim, tamnijim tekstom s desne strane, umjesto na svjetliji gumb za “odustani”. Korisnici koji su željeli postaviti svoju objavu kao privatnu, prvo su morali odabrati “odustani”, a zatim potražiti postavke privatnosti kako bi se prebacili na “privatni račun”. Stoga su korisnici poticani da odaberu zadane postavke, a TikTok im je otežao donošenje odluka koje bi štitile njihove osobne podatke. Nadalje, posljedice različitih ponuđenih opcija bile su nejasne, posebno za maloljetne korisnike. Europski odbor za zaštitu podataka potvrdio je da voditelji obrade ne bi trebali otežavati ispitanicima prilagodbu postavki koji se tiču privatnosti i ograničavanje obrade.
Također, Europski odbor za zaštitu podataka je utvrdio kako je za posljedicu predmetnih praksi, TikTok prekršio načelo poštenosti sukladno Općoj uredbi o zaštiti podataka. Stoga je Europski odbor za zaštitu podataka naložio irskom tijelu za zaštitu osobnih podataka da u svoju konačnu odluku uključi zaključak o ovom dodatnom prekršaju te da naloži TikTok-u da se pridržava odredbi Opće uredbe o zaštiti podataka eliminirajući takva tehnička rješenja (data protection by design).
Europski odbor za zaštitu podataka je također procijenio i jesu li mjere provjere dobi koje je TikTok primjenjivao između 31. srpnja i 31. prosinca 2020. godine usklađene sa zahtjevima tehničke zaštite podataka (Privacy by design) (članak 25.(1) GDPR-a). Europski odbor za zaštitu podataka je izrazio ozbiljne sumnje u učinkovitosti mjera za provjeru dobi koje je TikTok primjenjivao tijekom tog razdoblja, posebno uzimajući u obzir ozbiljnost rizika za veliki broj djece koji su koristili uslugu. Između ostalog, Europski odbor za zaštitu podataka je utvrdio kako se dobna granica, koju je TikTok postavio da bi onemogućio pristup platformi maloljetnim korisnicima mlađim od 13 godina, lako mogla zaobići te da mjere, koje su se primjenjivale nakon što su korisnici dobili pristup TikTok-u, nisu bile primijenjene na dovoljno siguran način.
Na temelju dostupnih informacija u kontekstu ovog postupka rješavanja sporova, Europski odbor za zaštitu podataka je zaključio kako tijekom tog razdoblja nije raspolagao dostatnim informacijama, posebice u kontekstu upotrebe najnovijih dostignuća, da bi konkretno ocijenio usklađenost TikTok-a s člankom 25.(1) GDPR-a tijekom tog razdoblja. Međutim, uzimajući u obzir ozbiljne sumnje učinkovitosti mjera koje je odabrao TikTok, Europski odbor za zaštitu podataka zatražio je od irskog nadzornog tijela podataka da to uzme u obzir u svojoj konačnoj odluci.
Konačna odluka irskog tijela za zaštitu osobnih podataka uključuje pravnu procjenu koju je Europski odbor za zaštitu podataka iznio u svojoj obvezujućoj odluci. Ova odluka donesena je na temelju članka 65. stavka 1. točke (a) Opće uredbe o zaštiti podataka nakon što je irsko tijelo za zaštitu podataka, kao vodeće nadzorno tijelo, pokrenulo postupak rješavanja sporova u vezi s prigovorima nekih predmetnih nadzornih tijela. U tim je prigovorima navedeno područje primjene prethodno opisane odluke Europskog odbora za zaštitu podataka.
Konačna odluka irskog tijela za zaštitu podataka uključuje i pravnu procjenu koja nije bila predmet prigovora predmetnih nadzornih tijela, kao što je utvrđenje kako su standardne postavke bile u suprotnosti s načelima tehničke i integrirane zaštite podataka, smanjenja količine podataka i transparentnosti. Osim opomene i naloga za usklađivanje, irsko tijelo za zaštitu osobnih podataka izreklo je novčanu kaznu u iznosu od 345 milijuna eura.