TikTok påförs påföljdsavgift på 345 miljoner euro för överträdelser av bestämmelserna om barns dataskydd
Den irländska dataskyddsmyndigheten har påfört TikTok Technology Limited en påföljdsavgift för praxis som strider mot dataskyddsförordningen vid behandling av barns personuppgifter. Genom Europeiska dataskyddsstyrelsens bindande beslut beordrade Irland TikTok att inom tre månader korrigera de vilseledande designlösningarna riktade till barn.
Den irländska dataskyddsmyndigheten utredde under sin undersökning på eget initiativ TikToks förfaringsätt vid behandling av personuppgifter av 13–17-åriga barn under perioden 31.7–31.12.2020. Undersökningen inriktades i synnerhet på sekretessinställningarna på barns användarkonton och videor i TikTok-applikationen.
Den irländska dataskyddsmyndigheten var den ansvariga myndigheten i undersökningen i och med att TikToks huvudsakliga verksamhetsställe i EU är beläget i Irland. Dataombudsmannens byrå deltog i ärendets behandling.
Den irländska dataskyddsmyndigheten konstaterade att TikTok har brutit mot flera av dataskyddsförordningens bestämmelser vid sin behandling av personuppgifter av minderåriga barn och unga. Barnens konton hade till exempel varit offentliga som standard, vilket innebar att innehållet hade varit synligt för alla. Detta bröt bland annat mot minimeringsprincipen samt mot inbyggt dataskydd och dataskydd som standard.
TikTok hade inte heller informerat sina minderåriga användare tillräckligt tydligt om behandlingen av personuppgifter. Det konstaterades också att TikToks så kallade familjeinställningar innebär risker för barn.
TikTok beordrades att sluta använda vilseledande designlösningar
Irland meddelade sitt beslut efter det att Europeiska dataskyddsstyrelsen angett sitt bindande beslut i augusti. Tvistlösningsförfarandet behandlade i synnerhet frågan om huruvida vissa av TikToks designlösningar brutit mot dataskyddförordningens princip om laglighet, korrekthet och öppenhet. Tillsynsmyndigheterna var eniga om andra överträdelser som Irland upptäckt.
I sitt tvistlösningsbeslut bedömde dataskyddsstyrelsen två av TikToks popup-meddelanden som kommer upp i samband med registrering och publicering av videor. Med popup-fönstren leddes (”pushades”) användaren med hjälp av vissa typer av designlösningar att välja sekretessinställningar med vilka profilen eller videon automatiskt blir offentliga. På så sätt gjorde TikTok det svårare för användaren att välja alternativ som främjar skyddet av personuppgifter. Följderna av de olika alternativen var dessutom otydliga särskilt för barn som användare.
”Alternativen för sekretessinställningarna för sociala medier bör framställas neutralt så att språket eller designen inte vilseleder användaren”, konstaterar Europeiska dataskyddsstyrelsens ordförande Anu Talus. ”Digitala aktörer ska vara särskilt noggranna och vidta alla nödvändiga åtgärder för att trygga dataskyddsrättigheterna för barn”, säger Talus.
Dataskyddsstyrelsen uppmanade Irland att beordra TikTok att sluta använda designlösningar som strider mot dataskyddsförordningen. Dataskyddsstyrelsen förhöll sig skeptisk även till effektiviteten av TikToks åtgärder för åldersverifiering under tiden 31.7–31.12.2020. Denna fråga kunde dock inte bedömas närmare på basis av de uppgifter som var tillgängliga under tvistlösningsförfarandet. Dataskyddsstyrelsen förutsatte dock att den irländska dataskyddsmyndigheten beaktar frågan om åldersverifiering i sitt slutliga beslut.
Irlands slutliga beslut har publicerats i registret på dataskyddsstyrelsens webbplats där man samlar tillsynsmyndigheternas beslut om ärenden som behandlats genom tvistlösningsförfarandet.
Mer information:
Europeiska dataskyddsstyrelsens tvistlösningsbeslut på styrelsens webbplats på engelska: Binding Decision 2/2023 on the dispute submitted by the Irish SA regarding TikTok Technology Limited (Art. 65 GDPR)
Europeiska dataskyddsstyrelsens meddelande på styrelsens webbplats på engelska: Following EDPB Decision, TikTok ordered to eliminate unfair design practices concerning children (15.9.2023)
Den irländska dataskyddsmyndighetens meddelande på myndighetens webbplats: Irish Data Protection Commission announces €345 million fine of TikTok (15.9.2023)
Vid samarbetsförfarande (s.k. systemet med en enda kontaktpunkt, eng. One-Stop-Shop) bereder den ledande tillsynsmyndigheten ett beslutsförslag och arbetar tillsammans med de deltagande tillsynsmyndigheterna för att nå samförstånd. Om tillsynsmyndigheterna inte är eniga om beslutet hänvisas ärendet till Europeiska dataskyddsstyrelsens tvistlösningsförfarande. Dataskyddsstyrelsens beslut är bindande för alla tillsynsmyndigheter som deltagit i behandlingen av ärendet.