Στο TikTok επιβλήθηκε πρόστιμο ύψους 345 εκατ. ευρώ για παραβίαση της νομοθεσίας της ΕΕ περί δεδομένων κατά το χειρισμό των λογαριασμών των παιδιών, συμπεριλαμβανομένης της αποτυχίας να προστατεύσει το περιεχόμενο των ανήλικων χρηστών από τη δημόσια θέα.
Η ιρλανδική υπηρεσία παρακολούθησης δεδομένων, η οποία ρυθμίζει την TikTok σε ολόκληρη την ΕΕ, δήλωσε ότι η κινεζικής ιδιοκτησίας εφαρμογή βίντεο είχε διαπράξει πολλαπλές παραβιάσεις των κανόνων του GDPR .
Διαπίστωσε ότι το TikTok είχε παραβιάσει τον GDPR τοποθετώντας εξ ορισμού τους λογαριασμούς των παιδικών χρηστών σε δημόσια ρύθμιση, παραλείποντας να παρέχει διαφανείς πληροφορίες στους παιδικούς χρήστες, επιτρέποντας σε έναν ενήλικα που έχει πρόσβαση στο λογαριασμό ενός παιδιού στη ρύθμιση «οικογενειακή σύζευξη» να επιτρέπει την άμεση ανταλλαγή μηνυμάτων για άτομα άνω των 16 ετών και μη λαμβάνοντας δεόντως υπόψη τους κινδύνους που εγκυμονούσαν για τα παιδιά κάτω των 13 ετών στην πλατφόρμα που είχαν τοποθετηθεί σε δημόσια ρύθμιση.
Οι παραβιάσεις
Η ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) δήλωσε ότι οι χρήστες ηλικίας μεταξύ 13 και 17 ετών καθοδηγήθηκαν κατά τη διαδικασία εγγραφής με τρόπο που είχε ως αποτέλεσμα οι λογαριασμοί τους να είναι εξ ορισμού δημόσιοι – που σημαίνει ότι οποιοσδήποτε μπορεί να δει το περιεχόμενο ενός λογαριασμού ή να σχολιάσει σε αυτόν – από προεπιλογή. Διαπίστωσε επίσης ότι το σύστημα «οικογενειακής αντιστοίχισης», το οποίο δίνει σε έναν ενήλικα τον έλεγχο των ρυθμίσεων του λογαριασμού ενός παιδιού, δεν έλεγχε αν ο ενήλικας που «αντιστοιχούσε» με το παιδί χρήστη ήταν γονέας ή κηδεμόνας.
Η DPC έκρινε ότι το TikTok, του οποίο έχει ελάχιστη ηλικία χρηστών τα 13 έτη, δεν έλαβε δεόντως υπόψη τον κίνδυνο που εγκυμονούσε για τους ανήλικους χρήστες που αποκτούσαν πρόσβαση στην πλατφόρμα. Είπε ότι η διαδικασία του public-setting-by-default επέτρεπε σε οποιονδήποτε να «βλέπει το περιεχόμενο των μέσων κοινωνικής δικτύωσης που αναρτούσαν οι εν λόγω χρήστες».
Οι λειτουργίες Duet και Stitch, οι οποίες επιτρέπουν στους χρήστες να συνδυάζουν το περιεχόμενό τους με άλλα TikTokers, ήταν επίσης ενεργοποιημένες από προεπιλογή για παιδιά κάτω των 17 ετών. Ωστόσο, η DPC διαπίστωσε ότι δεν υπήρξε παραβίαση του GDPR όσον αφορά τις μεθόδους επαλήθευσης της ηλικίας των χρηστών.
Σύμφωνα με τον Guardian η απόφαση της DPC έρχεται μετά την επιβολή προστίμου ύψους 12,7 εκατ. λιρών στο TikTok τον Απρίλιο από τη βρετανική ρυθμιστική αρχή δεδομένων για παράνομη επεξεργασία των δεδομένων 1,4 εκατομμυρίων παιδιών κάτω των 13 ετών που χρησιμοποιούσαν την πλατφόρμα της χωρίς τη συγκατάθεση των γονέων τους. Ο επίτροπος πληροφοριών δήλωσε ότι το TikTok είχε κάνει “πολύ λίγα, αν όχι τίποτα” για να ελέγξει ποιοι χρησιμοποιούσαν την πλατφόρμα.
Το TikTok δήλωσε ότι η έρευνα εξέτασε τη ρύθμιση απορρήτου της εταιρείας μεταξύ 31 Ιουλίου και 31 Δεκεμβρίου 2020 και δήλωσε ότι είχε αντιμετωπίσει τα προβλήματα που έθεσε η έρευνα. Όλοι οι υπάρχοντες και νέοι λογαριασμοί TikTok για παιδιά ηλικίας 13 έως 15 ετών έχουν ρυθμιστεί σε ιδιωτικούς – που σημαίνει ότι μόνο τα άτομα που έχουν εγκριθεί από τον χρήστη μπορούν να δουν το περιεχόμενό τους – από προεπιλογή από το 2021.
Η αντίδραση
Το TikTok είπε: «Με σεβασμό διαφωνούμε με την απόφαση, ιδίως με το ύψος του επιβληθέντος προστίμου. Οι επικρίσεις της DPC επικεντρώνονται σε χαρακτηριστικά και ρυθμίσεις που υπήρχαν πριν από τρία χρόνια και στις οποίες κάναμε αλλαγές πολύ πριν καν ξεκινήσει η έρευνα, όπως η ρύθμιση όλων των λογαριασμών κάτω των 16 ετών σε ιδιωτικούς από προεπιλογή».
Η DPC αναγνώρισε επίσης ότι είχε υπερψηφιστεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, ένα όργανο που αποτελείται από τις ρυθμιστικές αρχές δεδομένων και ιδιωτικότητας των κρατών μελών της ΕΕ, σε ορισμένες πτυχές της απόφασής της. Αυτό σήμαινε ότι έπρεπε να συμπεριλάβει μια προτεινόμενη διαπίστωση από τη γερμανική ρυθμιστική αρχή ότι η χρήση «σκοτεινών μοτίβων» – ο όρος για παραπλανητικά σχέδια ιστότοπων και εφαρμογών που κατευθύνουν τους χρήστες σε συγκεκριμένες συμπεριφορές ή συγκεκριμένες επιλογές – παραβίαζε μια διάταξη του GDPR σχετικά με τη δίκαιη επεξεργασία δεδομένων προσωπικού χαρακτήρα.