Έχει περάσει πολύς καιρός, αλλά τελικά το TikTok διαπιστώθηκε ότι παραβιάζει τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης σε σχέση με τον χειρισμό των δεδομένων παιδιών. Σύμφωνα με την απόφαση που εκδόθηκε σήμερα από την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC), η πλατφόρμα κοινής χρήσης βίντεο δέχθηκε επίπληξη και επιβλήθηκε πρόστιμο 345 εκατομμυρίων ευρώ (~379 εκατομμύρια δολάρια). Έχει επίσης διαταχθεί να συμμορφωθεί με την παραβατική επεξεργασία δεδομένων εντός τριών μηνών.
Συνολικά, βρέθηκε ότι το TikTok έχει παραβιάσει τα ακόλουθα οκτώ άρθρα του GDPR: 5(1)(a)· 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); και 13(1)(ε) — γνωστό και ως παραβιάσεις της νομιμότητας, της δικαιοσύνης και της διαφάνειας της επεξεργασίας δεδομένων· ελαχιστοποίηση δεδομένων· ασφάλεια δεδομένων; ευθύνη του υπεύθυνου επεξεργασίας· προστασία δεδομένων από σχεδιασμό και προεπιλογή· και τα δικαιώματα του υποκειμένου των δεδομένων (συμπεριλαμβανομένων των ανηλίκων) να λαμβάνουν σαφείς ανακοινώσεις σχετικά με την επεξεργασία δεδομένων· και να λαμβάνουν πληροφορίες για τους αποδέκτες των προσωπικών τους δεδομένων. Οπότε είναι αρκετά η λίστα με τις αστοχίες.
Η απόφαση δεν διαπίστωσε παραβίαση σε σχέση με τις μεθόδους που χρησιμοποίησε η TikTok για επαλήθευση ηλικίας, κάτι που αποτέλεσε σημείο ανάφλεξης για αυτήν σε μια σειρά περιφερειακών ρυθμιστικών αρχών, αλλά η ιρλανδική εποπτική αρχή σημειώνει ότι η απόφαση καταγράφει παραβίαση του άρθρου 24 παράγραφος 1. του GDPR — όπως διαπίστωσε η TikTok δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα, καθώς δεν εξέτασε σωστά ορισμένους κινδύνους για άτομα κάτω των 13 ετών που απέκτησαν πρόσβαση στην πλατφόρμα, καθώς η προεπιλεγμένη ρύθμιση λογαριασμού επέτρεπε σε οποιονδήποτε (εντός ή εκτός TikTok) να βλέπει κοινωνικά περιεχόμενο πολυμέσων που δημοσιεύτηκε από αυτούς τους χρήστες.
Οι ρυθμίσεις που είχε εφαρμόσει το TikTok αυτή τη στιγμή, διαπιστώθηκε ότι επέτρεψαν στους παιδικούς χρήστες να προχωρήσουν στη διαδικασία εγγραφής με τέτοιο τρόπο ώστε οι λογαριασμοί τους να ορίζονται ως δημόσιοι από προεπιλογή. “Αυτό σήμαινε επίσης ότι, για παράδειγμα, τα βίντεο που δημοσιεύτηκαν σε λογαριασμό παιδιών χρηστών ήταν δημόσια από προεπιλογή, τα σχόλια ενεργοποιήθηκαν δημόσια από προεπιλογή, οι λειτουργίες «Duet» και «Stitch» ενεργοποιήθηκαν από προεπιλογή», σημειώνει η DPC.
Ο λογαριασμός ενός παιδιού θα μπορούσε επίσης να «ζευγοποιηθεί» με έναν μη επαληθευμένο μη παιδί χρήστη — μέσω μιας λεγόμενης λειτουργίας «Σύζευξη οικογένειας» — αλλά το TikTok δεν επαλήθευσε εάν ο χρήστης ήταν στην πραγματικότητα ο γονέας ή ο κηδεμόνας του παιδιού χρήστη. Ο μη παιδί χρήστης θα μπορούσε να χρησιμοποιήσει τη λειτουργία για να ενεργοποιήσει τα απευθείας μηνύματα για παιδιά χρήστες άνω των 16 ετών — «καθιστώντας έτσι αυτή τη λειτουργία λιγότερο αυστηρή για τον παιδί χρήστη», σύμφωνα με τα ευρήματα της DPC.
Απαντώντας στην απόφαση, ένας εκπρόσωπος του TikTok μας έστειλε την εξής δήλωση:
Με σεβασμό διαφωνούμε με την απόφαση, ιδιαίτερα με το ύψος του προστίμου που επιβλήθηκε. Οι επικρίσεις του DPC επικεντρώνονται σε λειτουργίες και ρυθμίσεις που ίσχυαν πριν από τρία χρόνια, και ότι κάναμε αλλαγές πολύ πριν καν ξεκινήσει η έρευνα, όπως ο ορισμός όλων των λογαριασμών κάτω των 16 σε ιδιωτικούς από προεπιλογή.
Η TikTok μας είπε επίσης ότι εξετάζει τα επόμενα βήματά της υπό το φως της κύρωσης. Έτσι, η πλατφόρμα θα μπορούσε να επιδιώξει να υποβάλει νομική έφεση στην Ιρλανδία.
Σε μια πιο μακροσκελή απάντηση που δημοσιεύτηκε στον ιστότοπό της, η Elaine Fox, επικεφαλής του τμήματος απορρήτου του TikTok στην Ευρώπη, ανέπτυξε τα μέτρα που είπε ότι η εταιρεία έλαβε για να αντιμετωπίσει ανησυχίες για την ασφάλεια πριν από την έναρξη της έρευνας της DPC, όπως η δημιουργία προσωπικών λογαριασμών χρηστών ηλικίας 13-15 ετών από Προκαθορισμένο.
Υποστήριξε επίσης ότι το 2021 το TikTok έγινε το πρώτο (“και παραμένει[s] η μόνη») σημαντική πλατφόρμα για τη δημόσια αποκάλυψη του αριθμού των ύποπτων λογαριασμών ανηλίκων που αφαιρεί. «Το δημοσιεύουμε στο τρίμηνο μας Αναφορές επιβολής των κατευθυντήριων γραμμών κοινότητας και κατά τους πρώτους τρεις μήνες του 2023, αφαιρέσαμε σχεδόν 17 εκατομμύρια τέτοιοι λογαριασμοί παγκοσμίως», έγραψε, προσθέτοντας: «Η διασφάλιση ηλικίας είναι μια πρόκληση για ολόκληρο τον κλάδο. Θα συνεχίσουμε να συνεργαζόμαστε με ρυθμιστικές αρχές και άλλους ειδικούς για τον εντοπισμό νέων λύσεων που ενισχύουν περαιτέρω τις προσπάθειές μας να κρατάμε τους ανήλικους χρήστες εκτός πλατφόρμας.»
Σύμφωνα με την ανάρτηση ιστολογίου, το TikTok έχει περισσότερα από 134 εκατ μηνιαίους ενεργούς χρήστες σε ολόκληρη την Ευρωπαϊκή Ένωση.
Μη ασφαλές από προεπιλογή
Η έρευνα του DPC για τα παιδικά δεδομένα TikTok επικεντρώθηκε σε μια περίοδο πέντε μηνών (31 Ιουλίου 2020 έως 31 Δεκεμβρίου 2020) — εξετάζοντας εάν η TikTok συμμορφώθηκε με τις υποχρεώσεις της βάσει του GDPR σε σχέση με την επεξεργασία προσωπικών δεδομένων που σχετίζονται με παιδιά χρήστες της πλατφόρμας στο πλαίσιο ορισμένων ρυθμίσεων πλατφόρμας (συμπεριλαμβανομένων των ρυθμίσεων δημόσιας από προεπιλογή και των ρυθμίσεων που σχετίζονται με την προαναφερθείσα δυνατότητα “Οικογενειακή σύζευξη”)· καθώς και εξέταση της επαλήθευσης ηλικίας ως μέρος της διαδικασίας εγγραφής.
Το DPC εξέτασε επίσης «ορισμένες» υποχρεώσεις διαφάνειας, συμπεριλαμβανομένου του τρόπου με τον οποίο παρέχονται πληροφορίες σε παιδιά χρήστες σε σχέση με τις προεπιλεγμένες ρυθμίσεις.
Τα προκαταρκτικά πορίσματά της (σχέδιο απόφασης) διαπίστωσαν ελαφρώς λιγότερες παραβιάσεις του GDPR από ό,τι επιβεβαιώθηκε στη σημερινή τελική απόφαση. Ωστόσο, προβλήθηκαν αντιρρήσεις για το σχέδιο απόφασής του από δύο άλλες αρχές (το DPA της Ιταλίας και η αρχή του Βερολίνου) και η διαφωνία πέρασε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) για να λάβει μια δεσμευτική απόφαση — το οποίο συμφώνησε ότι θα πρέπει επίσης να διαπιστωθεί παραβίαση της αρχής της δικαιοσύνης του GDPR. Το συμβούλιο διέταξε επίσης την Ιρλανδία να επεκτείνει το πεδίο εφαρμογής της εντολής για να συμμορφωθεί η επεξεργασία ώστε να αναφερθεί στις διορθωτικές εργασίες που απαιτούνται για την αντιμετώπιση της παραβίασης της δικαιοσύνης.
Η τελική απόφαση του DPC εγκρίθηκε την 1η Σεπτεμβρίου 2023 — υποδηλώνοντας ότι η TikTok έχει προθεσμία έως τις αρχές Δεκεμβρίου για να διορθώσει τη συμμόρφωσή της με τον GDPR ή να διακινδυνεύσει περαιτέρω κυρώσεις.
Αν και ο ισχυρισμός της εταιρείας είναι ότι έχει ήδη διορθώσει το μεγαλύτερο μέρος των ζητημάτων για τα οποία επιβάλλονται κυρώσεις για σήμερα — εξ ου και η «ιδιαίτερη» ένστασή της για το ύψος του προστίμου.
Η ρυθμιστική αρχή απορρήτου του Ηνωμένου Βασιλείου, η ICO, επέβαλε τη δική της ποινή στο TikTok νωρίτερα αυτό το έτος – επίσης σε σχέση με τον χειρισμό των δεδομένων παιδιών – επιβάλλοντας πρόστιμο ~ 15,7 εκατομμυρίων δολαρίων για παραβίαση του καθεστώτος προστασίας δεδομένων του Ηνωμένου Βασιλείου μεταξύ Μαΐου 2018 και Ιουλίου 2020. συμπεριλαμβανομένης της αποτυχίας να αποτρέψει περίπου 1,4 εκατομμύρια ανήλικους χρήστες από την πρόσβαση στην πλατφόρμα της.
Ένα πιο σημαντικό πρόστιμο GDPR επιβλήθηκε στην ΕΕ στο Instagram που ανήκει στη Meta πέρυσι, επίσης σε σχέση με παραβιάσεις προστασίας δεδομένων που επηρεάζουν παιδιά. Σε αυτή την περίπτωση, στον τεχνολογικό γίγαντα επιβλήθηκαν κυρώσεις 405 εκατομμυρίων ευρώ στο τέλος μιας έρευνας της DPC που ξεκίνησε τον Οκτώβριο του 2020.
Οι κυρώσεις που σχετίζονται με ανησυχίες για την προστασία των παιδιών εξακολουθούν να ευθύνονται για μερικές από τις μεγαλύτερες κυρώσεις που επιβλήθηκαν από τις ευρωπαϊκές ρυθμιστικές αρχές προστασίας της ιδιωτικής ζωής τα τελευταία χρόνια. Παρόλο που τα σχετικά ποσά εξακολουθούν να είναι πολύ μακριά από τη μεγαλύτερη κύρωση GDPR μέχρι σήμερα: μια ποινή 1,2 δισεκατομμυρίων ευρώ για τις παράνομες μεταφορές δεδομένων της Meta.
Αυτό μπορεί να μην είναι μεγάλη άνεση για την TikTok, ωστόσο, δεδομένου ότι οι εξαγωγές των δικών της δεδομένων παραμένουν υπό έρευνα στην ΕΕ. Ο αναπληρωτής επίτροπος του DPC, Graham Doyle, είπε στο TechCrunch ότι ελπίζει να είναι σε θέση να υποβάλει ένα σχέδιο απόφασης για αυτή τη δεύτερη έρευνα TikTok, που επικεντρώνεται στις μεταφορές δεδομένων, σε άλλες περιφερειακές αρχές προστασίας δεδομένων για επανεξέταση μέχρι το τέλος του έτους. (Μια τελική απόφαση, επομένως, θα πρέπει να ληφθεί το 2024 — με τον ακριβή χρόνο να εξαρτάται από το εάν άλλες αρχές διαφωνούν με τα προκαταρκτικά ευρήματα της Ιρλανδίας.)
Το EDPB έχει κληθεί να λάβει δεσμευτικές αποφάσεις για μια σειρά ερευνών GDPR υπό την ηγεσία της Ιρλανδίας για τη Big Tech από τότε που τέθηκε σε ισχύ ο κανονισμός. Σε όλες τις περιπτώσεις, οι κυρώσεις που προκύπτουν έχουν ενταθεί μέσω της παρέμβασης του διοικητικού συμβουλίου — μερικές φορές ουσιαστικά και συχνά τόσο ως προς το μέγεθος των οικονομικών κυρώσεων που εκδίδονται όσο και ως προς το εύρος των πορισμάτων παραβίασης.
Πίεση για δράση
Η ιρλανδική ρυθμιστική αρχή άνοιξε τις δύο προαναφερθείσες έρευνες TikTok, σε διαβιβάσεις δεδομένων και αυτή που σχετίζεται με τη σημερινή απόφαση για την επεξεργασία δεδομένων ανηλίκων, πριν από δύο χρόνια. Η κίνηση ακολούθησε την πίεση από άλλες αρχές προστασίας δεδομένων της ΕΕ και ομάδες προστασίας των καταναλωτών που είχαν εγείρει ανησυχίες σχετικά με τον τρόπο με τον οποίο η πλατφόρμα χειρίζεται τα δεδομένα χρηστών γενικά και τις πληροφορίες των παιδιών ειδικά.
Νωρίτερα το ίδιο έτος, η αρχή προστασίας δεδομένων της Ιταλίας ανέλαβε έκτακτα μέτρα κατά του TikTok λόγω ανησυχιών για την ασφάλεια των παιδιών. Οι παρεμβάσεις της οδήγησαν στην πλατφόρμα να επανελέγχει την ηλικία κάθε χρήστη στη χώρα και να εκκαθαρίζει πάνω από μισό εκατομμύριο λογαριασμούς που δεν μπορούσε να επαληθεύσει ότι ανήκαν σε ανηλίκους κάτω των 13 ετών.
Περίπου αυτήν την περίοδο οι αρχές της ΕΕ για την προστασία των καταναλωτών ύψωσαν επίσης μια σειρά από κόκκινες σημαίες για ανησυχίες για την ιδιωτική ζωή και την ασφάλεια των παιδιών. Ωστόσο, χρειάστηκαν ακόμη αρκετοί μήνες πριν η ιρλανδική ρυθμιστική αρχή ανακοινώσει την έρευνά της.
Η αργή απάντηση στις ανησυχίες για την ασφάλεια των παιδιών που προκύπτουν από τη χρήση του TikTok από τα παιδιά συνέβαλε στο να δεχτεί την Επίτροπο του DPC, Helen Dixon, ορισμένες εχθρικές ερωτήσεις από ευρωβουλευτές κατά τη διάρκεια ακρόασης στο Ευρωπαϊκό Κοινοβούλιο νωρίτερα αυτό το έτος. Οι νομοθέτες της ΕΕ εξέφρασαν επίσης ευρύτερες ανησυχίες σχετικά με την προσέγγιση της ρυθμιστικής αρχής – αναρωτιούνται εάν η ιρλανδική ρυθμιστική αρχή είναι ικανή να επιβάλει τον GDPR σε μεγάλες τεχνολογικές πλατφόρμες.
Η Ντίξον απάντησε με μια σθεναρή υπεράσπιση αυτού που ισχυρίστηκε ότι είναι «απασχολημένη επιβολή του GDPR» από την ιρλανδική αρχή. Στο TikTok συγκεκριμένα ισχυρίστηκε ότι το DPC λειτουργεί όσο πιο γρήγορα μπορεί, δεδομένου του μεγάλου όγκου υλικού που εξετάζεται.
