Πρόστιμο ύψους 379 εκατ. δολαρίων στo TikTok εντός της ΕΕ για την αδυναμία διαφύλαξης των δεδομένων των παιδιών
ΠΟΙΚΙΛΗΣ ΥΛΗΣ 29 Σεπτεμβρίου 2023 fonisalaminas
Tο TikTok κρίθηκε τελικά ότι παραβιάζει τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης σε σχέση με τον χειρισμό των δεδομένων των παιδιών. Σύμφωνα με την απόφαση που εκδόθηκε από την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (Data Protection Commission, DPC), η πλατφόρμα ανταλλαγής βίντεο υπέστη επίπληξη και της επιβλήθηκε πρόστιμο ύψους 345 εκατομμυρίων ευρώ (~379 εκατομμύρια δολάρια). Επίσης, της δόθηκε εντολή να συμμορφώσει την παραβατική επεξεργασία των δεδομένων της εντός τριών μηνών.
Συνολικά, το TikTok βρέθηκε να έχει προχωρήσει σε οκτώ παραβάσεις των άρθρων του GDPR, πιο συγκεκριμένα αυτές τελέστηκαν επί της νομιμότητας, της αμεροληψίας και της διαφάνειας της επεξεργασίας των δεδομένων, της ελαχιστοποίησης των δεδομένων, της ασφάλεια των δεδομένων, της ευθύνη του υπευθύνου επεξεργασίας, της προστασίας των δεδομένων, αλλά και επί των δικαιωμάτων του υποκειμένου των δεδομένων (συμπεριλαμβανομένων των ανηλίκων) να λαμβάνει σαφείς ανακοινώσεις σχετικά με την επεξεργασία των δεδομένων του και να λαμβάνει πληροφορίες σχετικά με τους αποδέκτες των προσωπικών του δεδομένων.
Η απόφαση αυτή λήφθηκε μετά από παράβαση του άρθρου 24 παράγραφος 1 του GDPR- καθώς φάνηκε ότι το TikTok δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα, καθώς δεν έλαβε δεόντως υπόψη ορισμένους κινδύνους για τα παιδιά κάτω των 13 ετών, που αποκτούσαν πρόσβαση στην πλατφόρμα, δεδομένου ότι η προεπιλεγμένη ρύθμιση λογαριασμού επέτρεπε σε οποιονδήποτε (εντός ή εκτός του TikTok) να βλέπει το περιεχόμενο, που αναρτούσαν οι εν λόγω χρήστες.
Διαπιστώθηκε ότι οι ρυθμίσεις, που είχε εφαρμόσει το TikTok τη συγκεκριμένη χρονική περίοδο, επέτρεπαν σε παιδιά-χρήστες να προχωρήσουν στη διαδικασία εγγραφής με τέτοιο τρόπο, ώστε οι λογαριασμοί τους να είναι εξ ορισμού δημόσιοι. “Αυτό σήμαινε επίσης ότι, για παράδειγμα, τα βίντεο που δημοσιεύονταν στο λογαριασμό των ανήλικων χρηστών ήταν από προεπιλογή δημόσια, τα σχόλια ήταν από προεπιλογή ενεργοποιημένα ως δημόσια, οι λειτουργίες “Duet” και “Stitch” ήταν από προεπιλογή ενεργοποιημένες”, σημειώνει η DPC. Οι επιλογές αυτές δίνουν σε άλλους χρήστες τη δυνατότητα να χρησιμοποιήσουν τα βίντεο αυτά και σε δικό τους υλικό.
Ο λογαριασμός ενός παιδιού μπορούσε επίσης να ” αντιστοιχηθεί” με έναν μη επαληθευμένο ενήλικο χρήστη – μέσω της λεγόμενης λειτουργίας “Family Pairing” – αλλά το TikTok δεν επαλήθευε αν ο χρήστης ήταν όντως ο γονέας ή ο κηδεμόνας του παιδιού χρήστη. Ο ενήλικος χρήστης μπορούσε να χρησιμοποιήσει τη λειτουργία αυτή, για να επιτρέψει την αποστολή άμεσων μηνυμάτων σε χρήστες-παιδιά άνω των 16 ετών.
Απαντώντας στην απόφαση, ένας εκπρόσωπος της TikTok δήλωσε τα ακόλουθα: «Με όλο το σεβασμό διαφωνούμε με την απόφαση, ιδίως με το ύψος του επιβληθέντος προστίμου. Οι κατηγορίες της DPC επικεντρώνονται σε χαρακτηριστικά και ρυθμίσεις που υπήρχαν πριν από τρία χρόνια και στις οποίες κάναμε αλλαγές πολύ πριν καν ξεκινήσει η έρευνα, όπως η ρύθμιση όλων των λογαριασμών κάτω των 16 ετών σε ιδιωτικούς από προεπιλογή».
Το TikTok δήλωσε επίσης ότι εξετάζει τα επόμενα βήματά του υπό το πρίσμα των κυρώσεων. Έτσι, η πλατφόρμα θα μπορούσε να επιδιώξει να καταθέσει νομική έφεση στην Ιρλανδία.
Σε μια εκτενέστερη απάντηση, η Elaine Fox, επικεφαλής του τμήματος απορρήτου του TikTok στην Ευρώπη, ανέλυσε τα μέτρα που, όπως είπε, έλαβε η εταιρεία για να αντιμετωπίσει τις ανησυχίες σχετικά με την ασφάλεια πριν από την έναρξη της έρευνας της DPC, όπως το να θέτει τους λογαριασμούς των χρηστών ηλικίας 13-15 ετών ως ιδιωτικούς από προεπιλογή.
Ισχυρίστηκε επίσης ότι το 2021 το TikTok έγινε η πρώτη (“και παραμένει η μόνη”) μεγάλη πλατφόρμα που αποκαλύπτει δημοσίως τον αριθμό των ύποπτων λογαριασμών ανηλίκων που αφαιρεί. “Το δημοσιεύουμε αυτό στις τριμηνιαίες αναφορές μας για την εφαρμογή των κατευθυντήριων γραμμών της κοινότητας και κατά τη διάρκεια των τριών πρώτων μηνών του 2023, αφαιρέσαμε σχεδόν 17 εκατομμύρια τέτοιους λογαριασμούς παγκοσμίως”. Πρόσθεσε, επίσης, ότι « η εξακρίβωση της ηλικίας είναι μια πρόκληση για όλο τον κλάδο.Θα συνεχίσουμε να συνεργαζόμαστε με τις ρυθμιστικές αρχές και άλλους εμπειρογνώμονες για να εντοπίσουμε νέες λύσεις που θα ενισχύσουν περαιτέρω τις προσπάθειές μας να κρατήσουμε τους ανήλικους χρήστες μακριά από την πλατφόρμα”.
Το TikTok έχει περισσότερους από 134 εκατομμύρια μηνιαίους ενεργούς χρήστες στην Ευρωπαϊκή Ένωση.
Μη ασφαλές από προεπιλογή
Η έρευνα της DPC για τα δεδομένα παιδιών στο TikTok επικεντρώθηκε σε μια περίοδο πέντε μηνών (31 Ιουλίου 2020 έως 31 Δεκεμβρίου 2020) – εξετάζοντας κατά πόσον το TikTok συμμορφώθηκε με τις υποχρεώσεις του βάσει του GDPR σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά χρήστες της πλατφόρμας στο πλαίσιο ορισμένων ρυθμίσεων της πλατφόρμας (συμπεριλαμβανομένων των ρυθμίσεων “δημόσιο από προεπιλογή” και των ρυθμίσεων που σχετίζονται με την προαναφερθείσα λειτουργία “Family Pairing”), καθώς και την εξέταση της επαλήθευσης της ηλικίας στο πλαίσιο της διαδικασίας εγγραφής.
Η DPC εξέτασε επίσης “ορισμένες” υποχρεώσεις διαφάνειας, συμπεριλαμβανομένου του τρόπου με τον οποίο παρέχονται πληροφορίες στους χρήστες-παιδιά σε σχέση με τις προεπιλεγμένες ρυθμίσεις. Τα πρώτα πορίσματά της (“προσχέδιο απόφασης”) διαπίστωσαν ότι υπάρχουν ελαφρώς λιγότερες παραβάσεις του GDPR από αυτές που επιβεβαιώθηκαν στην τελική απόφαση.
Ωστόσο, δύο άλλες αρχές (η DPA της Ιταλίας και η αρχή του Βερολίνου) διατύπωσαν αντιρρήσεις για το προσχέδιο της απόφασής της και η διαφωνία πέρασε στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) για να λάβει δεσμευτική απόφαση – το οποίο συμφώνησε ότι θα πρέπει επίσης να διαπιστωθεί παραβίαση της αρχής της αμεροληψίας του GDPR. Το Συμβούλιο διέταξε επίσης την Ιρλανδία να επεκτείνει το πεδίο εφαρμογής της εντολής για τη συμμόρφωση της επεξεργασίας, ώστε να αναφέρεται στις διορθωτικές εργασίες που απαιτούνται για την αντιμετώπιση της παραβίασης της αρχής της αμεροληψίας.
Η τελική απόφαση της DPC εκδόθηκε την 1η Σεπτεμβρίου 2023 – υποδηλώνοντας ότι η TikTok έχει περιθώριο μέχρι τις αρχές Δεκεμβρίου για να διορθώσει τη συμμόρφωσή της με τον GDPR ή να διακινδυνεύσει περαιτέρω κυρώσεις. Ωστόσο, η εταιρεία ισχυρίζεται ότι έχει ήδη διορθώσει το μεγαλύτερο μέρος των προβλημάτων για τα οποία της επιβάλλονται κυρώσεις σήμερα – εξ ου και η “ιδιαίτερη” ένστασή της για το ύψος του προστίμου.
Η ρυθμιστική αρχή προστασίας της ιδιωτικής ζωής του Ηνωμένου Βασιλείου, η υπηρεσία ελέγχου της ιδιωτικής ζωής (ICO), επέβαλε τη δική της ποινή στο TikTok νωρίτερα φέτος – επίσης σε σχέση με τον χειρισμό των δεδομένων των παιδιών – επιβάλλοντας πρόστιμο ύψους ~15,7 εκατομμυρίων δολαρίων για παραβίαση του καθεστώτος προστασίας δεδομένων του Ηνωμένου Βασιλείου μεταξύ του Μαΐου 2018 και του Ιουλίου 2020, συμπεριλαμβανομένης της αποτυχίας να αποτρέψει την πρόσβαση στην πλατφόρμα του σε περίπου 1,4 εκατομμύρια ανήλικους χρήστες.
Ένα πιο υψηλό πρόστιμο για παραβιάσεις του GDPR επιβλήθηκε πέρυσι στην στο Instagram στην Ευρωπαϊκή Ένωση, επίσης, σε σχέση με παραβιάσεις της προστασίας των δεδομένων που αφορούν τα παιδιά. Σε εκείνη την περίπτωση, ο τεχνολογικός γίγαντας τιμωρήθηκε με 405 εκατ. ευρώ στο τέλος μιας έρευνας της DPC που ξεκίνησε τον Οκτώβριο του 2020.
Οι κυρώσεις που σχετίζονται με ζητήματα προστασίας των παιδιών εξακολουθούν να αποτελούν μερικές από τις μεγαλύτερες κυρώσεις που έχουν επιβληθεί από τις ευρωπαϊκές ρυθμιστικές αρχές προστασίας της ιδιωτικής ζωής τα τελευταία χρόνια.
Ωστόσο, αυτό μπορεί να μην προσφέρει ιδιαίτερη ανακούφιση στο TikTok, δεδομένου ότι οι δικές του εξαγωγές δεδομένων παραμένουν υπό διερεύνηση στην ΕΕ. Ο αναπληρωτής επίτροπος της DPC, Graham Doyle, δήλωσε ότι ελπίζει να είναι σε θέση να υποβάλει ένα σχέδιο απόφασης σχετικά με αυτή τη δεύτερη έρευνα για το TikTok, με επίκεντρο τη μεταφορά δεδομένων, σε άλλες περιφερειακές αρχές προστασίας δεδομένων για επανεξέταση μέχρι το τέλος του έτους. (Η τελική απόφαση, επομένως, θα πρέπει να έρθει το 2024 – με τον ακριβή χρόνο να εξαρτάται από το αν οι άλλες αρχές διαφωνούν με τα προκαταρκτικά πορίσματα της Ιρλανδίας).
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει κληθεί να λάβει δεσμευτικές αποφάσεις για μια σειρά ερευνών για τον GDPR υπό την ηγεσία της Ιρλανδίας σχετικά με τη Μεγάλη Τεχνολογία από τότε που τέθηκε σε ισχύ ο κανονισμός.
Πίεση για δράση
Η ιρλανδική ρυθμιστική αρχή άνοιξε τις δύο προαναφερθείσες έρευνες για το TikTok, σχετικά με τη διαβίβαση δεδομένων και για την επεξεργασία δεδομένων ανηλίκων, πριν από δύο χρόνια. Η κίνηση αυτή ακολούθησε την πίεση άλλων αρχών προστασίας δεδομένων της ΕΕ και ομάδων προστασίας των καταναλωτών που είχαν εκφράσει ανησυχίες σχετικά με τον τρόπο με τον οποίο η πλατφόρμα χειρίζεται τα δεδομένα των χρηστών γενικά και ειδικά τα δεδομένα των παιδιών.
Νωρίτερα το ίδιο έτος, η αρχή προστασίας δεδομένων της Ιταλίας έλαβε επείγουσα δράση κατά του TikTok λόγω ανησυχιών για την ασφάλεια των παιδιών. Οι παρεμβάσεις της οδήγησαν την πλατφόρμα να ελέγξει εκ νέου την ηλικία κάθε χρήστη στη χώρα και να διαγράψει πάνω από μισό εκατομμύριο λογαριασμούς που δεν μπορούσε να επαληθεύσει ότι δεν ανήκαν σε ανηλίκους κάτω των 13 ετών. Περίπου την ίδια εποχή οι αρχές προστασίας των καταναλωτών της ΕΕ ανέλαβαν επείγουσα δράση κατά του TikTok λόγω ανησυχιών για την ασφάλεια των παιδιών. Ωστόσο, χρειάστηκαν ακόμη αρκετοί μήνες προτού η ιρλανδική ρυθμιστική αρχή ανακοινώσει την έρευνά της.
csii.gr