TikTok z karą finansową za naruszenie RODO w związku z danymi osobowymi dzieci

Irlandzki organ nadzorczy uznał, że TikTok Technology Limited naruszył zasadę rzetelności RODO przy przetwarzaniu danych osobowych dotyczące dzieci w wieku od 13 do 17 lat. Naruszenia miały miejsce w okresie od 31 lipca do 31 grudnia 2020 r. Dotyczyły one praktyk polegających na stosowaniu powiadomień typu pop-up tj.:

• okienka rejestracji

• okienka publikowania wideo

W pierwszym okienku niepełnoletni użytkownicy TikToka byli zachęcani do wybrania konta publicznego poprzez wybranie prawego przycisku „Pomiń”. Kliknięcie tego przycisku miało istotny wpływ na ochronę prywatności dziecka korzystającego z platformy. W efekcie bowiem opublikowane przez dziecko filmy mogłyby być publiczne komentowane.

Z kolei drugie okienku zawierało zachętę do kliknięcia „Opublikuj teraz” (przycisk był oznaczony grubszą i ciemniejszą czcionką) zamiast „Anuluj”. Przez kliknięcie „Opublikuj teraz” post stawał się publiczny. Jeśli użytkownik chciał, aby jego post by prywatny, musiał najpierw wybrać „anuluj”, a potem poszukać zmienić konto na prywatne w ustawieniach.

Niepełnoletni użytkownicy byli zachęcani do wybierania ustawień domyślnie publicznych. TikTok utrudniał więc wyboru rozwiązań sprzyjających ochronie danych osobowych dzieci. W ten sposób naruszono regułę privacy by default.

Ponadto w ocenie EROD, która wydała wcześniej wiążącą decyzję jak i irlandzkiego organu nadzorczego, wprowadzone przez TikTok narzędzia weryfikacji wieku w okresie od 31 lipca do 31 grudnia 2020 r. Platformie zarzucono brak systematyki w stosowaniu tych narzędzi. Wskazano również na możliwość stosunkowo łatwego obejścia bariery wiekowej 13 lat. Wprawdzie nie stwierdzono jednoznacznie naruszenia reguły privacy by default, niemniej jednak uchybienia te zostały jednak uwzględnione w decyzjach.

• Edpb.europa.eu