Irski nadzorni organ družbenemu omrežju TikTok naložil odpravo nepoštenih praks pri obdelavi osebnih podatkov mladoletnih uporabnikov
+ -Irski nadzorni organ (Data Protection Commission, DPC) je sprejel končno odločitev, v kateri je ugotovil, da je obdelava osebnih podatkov mladoletnih uporabnikov družbenega omrežja TikTok, starih med 13 in 17 let, kršila več določb Splošne uredbe, med drugim tudi načelo poštenosti in najmanjšega obsega obdelave. Končna odločitev je bila sprejeta v skladu z zaključki zavezujoče odločitve, ki jo je v zadevi sprejel Evropski odbor za varstvo podatkov (European Data Protection Board, EDPB).
Kršitev načela poštenosti je DPC ugotovil glede implementacije dveh pojavnih oken, ki sta bili prikazani mladoletnim uporabnikom omrežja TikTok ob registraciji (Registration Pop-Uu) in pri vsakokratni objavi videoposnetka (Video Posting Pop-Up). V obeh primerih je oblikovanje pojavnega okna mladoletne uporabnike spodbujalo, da so izbrali zasebnosti manj prijazne nastavitve. Poleg tega bi morale biti posledice različnih izbir v pojavnih oknih posameznikom bolj jasno predstavljane, posebej ker gre za mladoletne uporabnike.
DPC je preverjal tudi skladnost ukrepov za preverjanje starosti uporabnikov z načelom vgrajenega varstva osebnih podatkov iz 25(1) člena Splošne uredbe (»privacy by design«), glede katerih je v skladu z zavezujočo odločitvijo EDPB izrazil resen dvom o njihovi učinkovitosti. Mehanizem za preverjanje starosti z vpisovanjem datuma rojstva (tim. age gate) so tudi uporabniki, mlajši od 13 let, zlahka zaobšli, ukrepi za odstranjevanje uporabnikov pod dopustno starostno mejo pa niso bili uporabljeni dovolj sistematično. Vendar pa je EDPB v svoji odločitvi ugotovil, da zaradi pomanjkanja informacij zlasti glede stopnje tehnološkega razvoja v obdobju, na katerega se nanaša končna odločitev, ne more dokončno odločiti o tem, ali je TikTok obdeloval osebne podatke v skladu s členom 25(1) Splošne uredbe.
Zaradi ugotovljenih kršitev je DPC družbenemu omrežju TikTok izrekel opomin, naložil globo v višini 345 milijonov EUR in mu odredil, naj v treh mesecih obdelavo osebnih podatkov uskladi z določbami Splošne uredbe.