Irsko nadzorno tijelo (DPC) izreklo je upravnu novčanu kaznu popularnoj mrežnoj platformi TikTok. Kazna u iznosu 345 milijuna eura posljedica je povreda u obradi osobnih podataka djece.
DPC je svoju istragu započeo još u rujnu 2021. godine, a opseg istrage bilo je razdoblje od srpnja do prosinca 2020. godine. U istrazi, DPC se fokusirao na TikTok postavke koje se odnose na obradu osobnih podataka djece, posebice mlađih od 13 godina, te način provjere dobi u postupku registracije na platformu.
Istraga je pokazala da su se “defaultne” TikTok postavke na razini korisničkog računa vodile principom “public-by-default”, zbog čega su i korisnički profili automatski bili javno dostupni, umjesto samo privatno ili ograničeno. TikTok ima implementirane postavke roditeljske zaštite među kojima je i mogućnost “Family Pairing” koja omogućuje svojevrsno uparivanje korisničkog računa djeteta s korisničkim računom punoljetne osobe. U ovom slučaju, doduše, utvrđeno je da se korisnički račun djeteta može upariti s neprovjerenim (unverified) korisničkim računom punoljetne osobe te da TikTok u tom postupku nije osigurao da se može upariti samo sa korisničkim računom roditelja ili zakonskog skrbnika. Osim toga, takvim uparivanjem roditeljski korisnički račun ima mogućnost korisničkom računu djeteta omogućiti razmjenu izravnih poruka sa svim korisnicima platforme, što automatski smanjuje ukupnu razinu sustava roditeljske zaštite.
Zaključak DPC-a je da TikTok nije uzeo u obzir rizike kojima su izložena djeca mlađa od 13 godina koja su ostvarila pristup platformi pod defaultnim korisničkim postavkama, a zbog kojih su sve njihove objave bilo javno dostupne, korisnicima platforme, ali i drugima koji ne moraju nužno biti registrirani korisnici. U svojoj odluci DPC navodi da se radi o povredama GDPR-a prema članku 5. stavak 1. točke a), c) i f), članku 12. stavak 1., članku 13. stavak 1. točka e), te članku 24. stavak 1. i članku 25. stavak 1. i 2.
Iz TikToka su komentirali ovaj slučaj rekavši da se ne slažu s odlukom DPC-a, posebice jer se temelji na postavkama koje su bile dostupne prije tri godine, a koje su se u međuvremenu promijenile. Naime, pod trenutnim defaultnim postavkama svi korisnički računi povezani s osobom mlađom od 16 (umjesto prijašnjih 13) godina postavljeni su na “private”. Iz TikToka također smatraju da je 345 milijuna eura previsoka kazna.
Nakon što je DPC ovaj slučaj prezentirao ostalim nacionalnim nadzornim tijelima, Europski odbor za zaštitu podataka (EDPB) je zatražio od DPC-a da ažuriraju zaključke u svojoj odluci tako da se temelje na aktualnim podacima. Povrh upravne novčane kazne od 345 milijuna eura, TikToku je izrečen i ukor te naložena obveza regulatornog usklađivanja postupaka obrade osobnih podataka unutar roka od tri mjeseca.