Po odločitvi EDPB, ki zavezuje k rešitvi spora, je irski organ za varstvo podatkov (IE DPA) izdal končno odločitev, v kateri je med drugim ugotovil, da je TikTok Technology Limited (TikTok) kršil načelo poštenosti pri obdelavi osebnih podatkov otrok, starih med 13 in 17 let. Odločitev EDPB je bila izdana 2. avgusta 2023 in zajema dejavnosti obdelave TikToka med 31. julijem in 31. decembrom 2020.
“Podjetja za družbena omrežja imajo odgovornost, da uporabnikom, še posebej otrokom, ne predstavljajo izbir na nepravičen način – še posebej, če lahko takšna predstavitev spodbudi ljudi k odločitvam, ki kršijo njihove po zasebnosti. Možnosti, povezane z zasebnostjo, bi morale biti predstavljene objektivno in nepristransko, brez kakršnega koli zavajajočega ali manipulativnega jezika ali oblikovanja. S to odločitvijo EDPB ponovno jasno poudarja, da morajo digitalni akterji biti še posebej previdni in sprejeti vse potrebne ukrepe za varovanje pravic otrok do varstva osebnih podatkov.”
Anu Talus, predsednica EDPB
V svoji zavezujoči odločitvi je EDPB analiziral prakse oblikovanja, ki jih je TikTok implementiral v kontekstu dveh pojavnih obvestil, ki so bila prikazana otrokom, starim 13-17 let: pojavno obvestilo ob registraciji in pojavno obvestilo ob objavi videa. Analiza je pokazala, da nobeno od pojavnih obvestil uporabnikom ni predstavilo možnosti na objektiven in nepristranski način.
V pojavnem obvestilu ob registraciji so bili otroci spodbujeni, da izberejo javni račun z izbiro gumba na desni strani, označenega z “Preskoči”, kar bi nato imelo verižni učinek na otrokovo zasebnost na platformi, na primer z omogočanjem dostopa do komentarjev na video vsebino, ki so jo ustvarili otroci.
V pojavnem obvestilu ob objavi videa so bili otroci spodbujeni, da kliknejo na “Objavi zdaj”, predstavljenem v krepkem, temnejšem besedilu na desni strani, namesto na svetlejši gumb za “prekliči”. Uporabniki, ki so želeli najprej narediti svojo objavo zasebno, so morali izbrati “prekliči” in nato poiskati nastavitve zasebnosti, da bi preklopili na “zasebni račun”. Zato so bili uporabniki spodbujeni k izbiri nastavitev, ki so privzeto javne, pri čemer je TikTok otežil izbiro možnosti, ki so bile v prid varstvu osebnih podatkov. Poleg tega posledice različnih možnosti niso bile jasne, še posebej za mladoletne uporabnike. EDPB je potrdil, da kontrolorji ne bi smeli oteževati prilagajanja nastavitev zasebnosti in omejevanja obdelave podatkov.
EDPB je ugotovil tudi, da je TikTok kot posledica vprašanih praks kršil načelo poštenosti po GDPR. Posledično je EDPB naročil IE DPA, da v svojo končno odločitev vključi ugotovitev te dodatne kršitve in naroči TikToku, da se uskladi z GDPR z odpravo takšnih praks oblikovanja.
EDPB je ocenil tudi, ali so ukrepi za preverjanje starosti, ki jih je TikTok implementiral med 31. julijem in 31. decembrom 2020, skladni z zahtevami načela privzete zasebnosti. EDPB je izrazil resne dvome glede učinkovitosti ukrepov za preverjanje starosti, ki jih je TikTok uvedel v tem obdobju, še posebej ob upoštevanju resnosti tveganj za veliko število prizadetih otrok. Med drugim je EDPB ugotovil, da je bilo mogoče enostavno zaobiti starostno preverjanje, ki ga je TikTok uvedel za preprečevanje dostopa otrokom, mlajšim od 13 let, na platformo, in da ukrepi, uporabljeni po pridobitvi dostopa do TikToka, niso bili uporabljeni dovolj sistematično.
Na podlagi elementov, ki so bili na voljo v kontekstu tega postopka reševanja sporov, je EDPB sklenil, da nima dovolj informacij, zlasti v zvezi z aktualnim stanjem tehnike, da bi lahko dokončno ocenil skladnost TikToka s členom 25(1) GDPR v tem obdobju. Vendar pa je EDPB zaradi resnih dvomov glede učinkovitosti izbranih ukrepov zahteval, da IE DPA to odraža v svoji končni odločitvi.
Končna odločitev IE DPA vključuje pravno oceno, ki jo je EDPB izrazil v svoji zavezujoči odločitvi. Ta odločitev je bila sprejeta na podlagi člena 65(1)(a) GDPR, potem ko je IE DPA kot vodilni nadzorni organ (LSA) sprožil postopek reševanja sporov glede ugovorov, ki so jih izrazili nekateri zaskrbljeni nadzorni organi (CSA). Ti ugovori so opredelili obseg odločitve EDPB, opisanega zgoraj.
Končna odločitev IE DPA vključuje tudi pravno oceno, ki ni bila predmet ugovorov s strani CSA, kot je ugotovitev, da so bile privzete nastavitve v nasprotju z načeli vgrajene in privzete zasebnosti, minimizacije in transparentnosti. Poleg opomina in odredbe o skladnosti je IE DPA TikToku naložil kazen v višini 345 milijonov evrov.
