TikTokille 345 miljoonan euron seuraamusmaksu lasten tietosuojaan liittyvistä rikkomuksista
Irlannin tietosuojaviranomainen on määrännyt TikTok Technology Limitedille seuraamusmaksun yleisen tietosuoja-asetuksen vastaisista käytännöistä lasten henkilötietojen käsittelyssä. Euroopan tietosuojaneuvoston antaman sitovan päätöksen myötä Irlanti määräsi TikTokin korjaamaan lapsiin kohdistuvat harhaanjohtavat muotoiluratkaisut kolmen kuukauden sisällä.
Irlannin tietosuojaviranomainen selvitti oma-aloitteisessa tutkinnassaan TikTokin toimintatapoja 13–17-vuotiaiden lasten henkilötietojen käsittelyssä 31.7.–31.12.2020 välisellä ajalla. Selvitys kohdistui erityisesti lasten käyttäjätilien ja videoiden yksityisyysasetuksiin sovelluksessa.
Irlannin tietosuojaviranomainen johti tutkintaa, sillä TikTokin EU:n päätoimipaikka sijaitsee Irlannissa. Myös tietosuojavaltuutetun toimisto osallistui asian käsittelyyn.
Irlannin tietosuojaviranomainen totesi, että TikTok on rikkonut alaikäisten lasten ja nuorten henkilötietojen käsittelyssä useita tietosuoja-asetuksen säännöksiä. Lapsikäyttäjien tilit oli esimerkiksi asetettu oletusarvoisesti julkisiksi, jolloin julkaisut olivat näkyneet kaikille. Tämä oli muun muassa minimointiperiaatteen ja sisäänrakennetun ja oletusarvoisen tietosuojan vastaista.
TikTok ei myöskään ollut kertonut alaikäisille käyttäjilleen riittävän selkeästi henkilötietojen käsittelystä. Myös TikTokin perheasetuksissa havaittiin lapsiin kohdistuvia riskejä.
TikTok määrättiin lopettamaan harhaanjohtavien muotoiluratkaisujen käyttö
Irlanti antoi ratkaisunsa Euroopan tietosuojaneuvoston elokuussa tekemän sitovan kiistanratkaisupäätöksen jälkeen. Kiistanratkaisumenettelyssä käsiteltiin erityisesti kysymystä siitä, oliko TikTokin tietyissä muotoiluratkaisuissa rikottu tietosuoja-asetuksessa säädettyä oikeudenmukaisuuden periaatetta. Valvontaviranomaiset olivat yksimielisiä muista Irlannin toteamista rikkomuksista.
Kiistanratkaisupäätöksessään tietosuojaneuvosto arvioi TikTokin kahta ponnahdusikkunailmoitusta rekisteröitymisen ja videon julkaisun yhteydessä. Ponnahdusikkunoissa käyttäjää ohjattiin (ns. tuupattiin) tietynlaisilla muotoiluratkaisuilla valitsemaan yksityisyysasetukset, joilla profiili tai video asetettiin automaattisesti julkisiksi. TikTok vaikeutti näin henkilötietojen suojaamista edistävien valintojen tekemistä. Lisäksi eri vaihtoehtojen seuraukset olivat epäselviä erityisesti lapsikäyttäjille.
”Sosiaalisen median yksityisyysasetusten vaihtoehdot tulisi esittää neutraalisti, jotta kieli tai muotoilu ei ole käyttäjälle harhaanjohtavaa”, Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus toteaa. ”Digitaalisten toimijoiden on oltava erityisen huolellisia ja toteutettava kaikki tarvittavat toimet lasten tietosuojaoikeuksien turvaamiseksi”, Talus sanoo.
Tietosuojaneuvosto kehotti Irlantia antamaan TikTokille määräyksen lopettaa tietosuoja-asetusta rikkovien muotoiluratkaisujen käyttö. Tietosuojaneuvosto suhtautui epäilevästi myös TikTokin iäntarkistustoimenpiteiden tehokkuuteen 31.7.–31.12.2020 välisenä aikana. Kysymystä ei pystytty tarkemmin arvioimaan kiistanratkaisumenettelyssä käytössä olleiden tietojen perusteella. Tietosuojaneuvosto kuitenkin edellytti, että Irlannin tietosuojaviranomainen otti asian huomioon lopullisessa päätöksessään.
Irlannin lopullinen päätös on julkaistu tietosuojaneuvoston verkkosivuilla olevassa rekisterissä, johon kootaan valvontaviranomaisten ratkaisut kiistanratkaisumenettelyssä käsitellyistä asioista.
Lisätietoja:
Euroopan tietosuojaneuvoston kiistanratkaisupäätös neuvoston verkkosivuilla englanniksi: Binding Decision 2/2023 on the dispute submitted by the Irish SA regarding TikTok Technology Limited (Art. 65 GDPR)
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: Following EDPB Decision, TikTok ordered to eliminate unfair design practices concerning children (15.9.2023)
Irlannin tietosuojaviranomaisen tiedote viranomaisen verkkosivuilla: Irish Data Protection Commission announces €345 million fine of TikTok (15.9.2023)
Yhteistyömenettelyssä (ns. yhden luukun periaate) johtava valvontaviranomainen valmistelee päätösehdotuksen ja työskentelee yhdessä osallistuvien valvontaviranomaisten kanssa yhteisymmärryksen saavuttamiseksi. Jos valvontaviranomaiset ovat erimielisiä ratkaisusta, asia siirtyy Euroopan tietosuojaneuvoston kiistanratkaisumenettelyyn. Tietosuojaneuvoston päätös sitoo kaikkia asian käsittelyyn osallistuneita valvontaviranomaisia.