Az ír Adatvédelmi Hatóság 345 millió eurós bírságot szabott ki a TikTok Technology Limiteddel („TikTok”) szemben a szeptember 15-én hozott határozata szerint.
Az ügy háttere
A bírság egyik oka a GDPR szerinti tisztességes eljárás elvének megsértése volt, a 13 és 17 év közötti gyermekek (“kiskorú felhasználók“) személyes adatainak kezelése kapcsán. Ugyanis, a hatóság szerint a regisztrációkor felugró ablak („Registration Pop-Up”) és a videó közzétételekor felugró ablak („Video Posting Pop-Up”) használata általi személyes adatkezelés nem felelt meg a GDPR rendelkezéseinek.
A hatóság álláspontja szerint a TikTok manipulatív megoldást alkalmazott a regisztrációs folyamat során azáltal, hogy a fiókok a regisztrációkor alapértelmezett módon nyilvánosra kerültek beállításra, és a fiók privátra állítására lehetőséget adó opt-out opció félrevezető volt. A kiskorú felhasználók nem kaptak arra vonatkozóan sem teljeskörű és érthető tájékoztatást, hogy nyilvános fiókjuk tartalmához bárki hozzáférhet, amibe egyaránt beletartoznak a regisztrált és nem regisztrált személyek is.
A Video Posting Pop-Up kapcsán hasonló probléma merült fel. Ez a felugró ablak teszi lehetővé, hogy a videó feltöltése előtt annak nyilvánosságát a felhasználó módosítani tudja. A vizsgálat során megállapításra került, hogy az adatkezelő megnehezítette a felhasználók számára az adatvédelmi beállítások módosítását és az adatkezelés korlátozását, ami ahhoz vezetett, hogy a felhasználók nagyobb valószínűséggel az alapbeállítások szerint, nyilvánosan osztották meg videóikat.
A vizsgálat tárgyai voltak továbbá a TikTok által bevezetett életkor ellenőrzési intézkedések, amelyek a 13 év alatti személyek regisztrációját hivatottak kiszűrni és blokkolni, akik számára egyébként az alkalmazás használata tilos. Az eddigi gyakorlat szerint a 13 év alatti életkor esetén a regisztrációs folyamat megszakadt, és a regisztrálót az alkalmazás újratelepítés után is blokkolta. Ezeket a személyeket azonban nem tájékoztatták arról, hogy az életkoruk miatt blokkolták őket.
Az EDPB eljátása
Az ír Adatvédelmi Hatóság döntéstervezete a felugró ablakok gyakorlata kapcsán megállapította a GDPR szerinti tájékoztatáshoz való jog megsértését. Az ügyben közreműködő német Adatvédelmi Hatóság álláspontja szerint azonban ez a gyakorlat a jogszerű és tisztességes adatkezelés elvét is sérti. A kérdés eldöntése érdekében a döntéstervezet az Európai Adatvédelmi Testület („EDPB”) elé került.
Az EDPB a vizsgálat során, arra a következtetésre jutott, hogy a fentiekben leírt gyakorlat nem áll összhangban a tisztességes eljárás elvével, ami biztosítja, hogy a személyes adatok kezelése jogszerűen és tisztességesen, valamint az érintett számára átlátható módon történjen. Az ügy kapcsán közzétett kötelező erejű határozatban ezért, az EDPB arra hívta fel az ír Adatvédelmi Hatóságot, hogy a határozattervezetét úgy módosítsa, hogy az tartalmazza a GDPR 5. cikke (1) bekezdésének a) pontja szerinti tisztességesség elvének megsértésére vonatkozó megállapítást is. A határozatban az EDPB ismét kihangsúlyozta a tisztességes eljárás elvével kapcsolatos korábbi megállapításait.
E rendelkezés szerint a tisztességes eljárás elve, olyan átfogó elv, amely előírja, hogy a személyes adatok kezelése nem történhet az érintett számára indokolatlanul hátrányos, jogellenesen megkülönböztető, váratlan vagy félrevezető módon. Továbbá, a Testület korábban azt is megállapította, hogy a tisztességes eljárás elve magában foglalja többek között az érintettek ésszerű elvárásainak figyelembe vételét, az adatkezelés lehetséges hátrányos következményeinek mérlegelését, valamint az érintettek és az adatkezelő közötti kapcsolat és az egyenlőtlenség lehetséges hatásainak vizsgálatát.
Az EDPB tehát, a vizsgálat eredményei alapján egyetértett azzal, hogy a tisztességes eljárás elvét megsértette az, hogy a felugró ablakok, kihasználva a társaság és a kiskorú felhasználók között fennálló egyenlőtlenséget, a magánéletbe jobban beavatkozó beállítások választására ösztönözték őket. Az EDPB szavaival élve, a TikTok “megnehezítette az érintettek számára, hogy személyes adataik védelme mellett döntsenek“. Ez a gyakorlat pedig ahhoz vezetett, hogy a gyermek felhasználók a személyes adataik védelmével ellentétes döntéseket hoztak.
Mi várható ezután?
Az ír Adatvédelmi Hatóság nemcsak jelentős bírságot szabott ki a TikTok-ra, hanem arra is kötelezte a céget, hogy 3 hónapon belül hozza összhangba gyakorlatát az adatvédelmi követelményekkel. A döntéssel szemben azonban TikTok jogorvoslattal élhet.
Bővebb profil
