Het heeft lang geduurd, maar uiteindelijk is vastgesteld dat TikTok de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie schendt met betrekking tot de omgang met gegevens van kinderen. Op grond van het besluit van de Ierse Data Protection Commission (DPC) heeft het videodeelplatform een berisping gekregen en een boete van €345 miljoen (~$379 miljoen). Het heeft ook de opdracht gekregen om de inbreukmakende gegevensverwerking binnen drie maanden in overeenstemming te brengen.
In totaal is vastgesteld dat TikTok de volgende acht artikelen van de AVG heeft geschonden: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); en 13(1)(e) – ook wel schendingen van de wettigheid, eerlijkheid en transparantie van gegevensverwerking genoemd; dataminimalisatie; dataveiligheid; verantwoordelijkheid van de verwerkingsverantwoordelijke; gegevensbescherming door ontwerp en standaard; en de rechten van de betrokkene (inclusief minderjarigen) om duidelijke communicatie over gegevensverwerking te ontvangen; en om informatie te ontvangen over de ontvangers van hun persoonlijke gegevens. Het is dus een hele waslijst aan tekortkomingen.
In het besluit werd geen schending vastgesteld met betrekking tot de methoden die door TikTok worden gebruikt voor leeftijdsverificatie, wat voor een aantal regionale toezichthouders een brandpunt is geweest, maar de Ierse waakhond merkt op dat het besluit wel een schending van artikel 24, lid 1, registreert. van de AVG – omdat werd vastgesteld dat TikTok geen passende technische en organisatorische maatregelen heeft getroffen, omdat het niet goed rekening heeft gehouden met bepaalde risico’s voor jongeren onder de 13 jaar die toegang hebben gekregen tot het platform, aangezien de standaardaccountinstelling iedereen (binnen of buiten TikTok) toestond sociale media te bekijken media-inhoud die door die gebruikers is geplaatst.
De instellingen die TikTok destijds had geïmplementeerd, bleken ervoor te zorgen dat kindgebruikers het aanmeldingsproces zodanig konden doorlopen dat hun accounts standaard op openbaar werden ingesteld. “Dit betekende ook dat bijvoorbeeld video’s die op het account van kinderen werden gepost standaard openbaar waren, reacties standaard openbaar waren en de ‘Duet’- en ‘Stitch’-functies standaard waren ingeschakeld’, merkt de DPC op.
Het account van een kind kan ook worden ‘gekoppeld’ aan een niet-geverifieerde niet-kindergebruiker – via een zogenaamde ‘Family Pairing’-functie – maar TikTok heeft niet geverifieerd of de gebruiker feitelijk de ouder of voogd van de kindgebruiker was. De niet-kindergebruiker zou de functie kunnen gebruiken om directe berichten mogelijk te maken voor kindgebruikers ouder dan 16 jaar – “waardoor deze functie minder streng wordt voor de kindgebruiker”, aldus de bevindingen van de DPC.
In reactie op het besluit stuurde een TikTok-woordvoerder ons deze verklaring:
Wij zijn het respectvol oneens met het besluit, met name met de hoogte van de opgelegde boete. De kritiek van de DPC is gericht op functies en instellingen die drie jaar geleden al bestonden, en waar we al voordat het onderzoek begon wijzigingen in hebben aangebracht, zoals het standaard instellen van alle accounts onder de 16 jaar op privé.
TikTok vertelde ons ook dat het zijn volgende stappen overweegt in het licht van de sanctie. Het platform zou dus kunnen proberen juridisch beroep aan te tekenen in Ierland.
In een langere reactie op haar website ging Elaine Fox, hoofd privacy bij TikTok in Europa, dieper in op de maatregelen die het bedrijf volgens haar heeft genomen om veiligheidsproblemen aan te pakken voordat het onderzoek van de DPC begon, zoals het privé zetten van accounts van gebruikers tussen 13 en 15 jaar. standaard.
Ze beweerde ook dat TikTok in 2021 de eerste werd (“en blijft[s] het enige grote platform dat het aantal vermoedelijke minderjarige accounts openbaar maakt dat het verwijdert. “We publiceren dit in onze driemaandelijkse Community Guideline Enforcement Reports en gedurende de eerste drie maanden van 2023 hebben we wereldwijd bijna 17 miljoen van dergelijke accounts verwijderd”, schreef ze en voegde eraan toe: “Leeftijdgarantie is een uitdaging voor de hele sector. We zullen blijven samenwerken met toezichthouders en andere experts om nieuwe oplossingen te vinden die onze inspanningen om minderjarige gebruikers van het platform te houden verder versterken.”
Volgens de blogpost heeft TikTok meer dan 134 miljoen maandelijkse actieve gebruikers in de hele Europese Unie.
Standaard onveilig
Het TikTok-onderzoek naar kindgegevens van de DPC concentreerde zich op een periode van vijf maanden (31 juli 2020 tot 31 december 2020) – waarbij werd gekeken of TikTok voldeed aan zijn verplichtingen onder de AVG met betrekking tot de verwerking van persoonsgegevens met betrekking tot kindgebruikers van het platform in de context van bepaalde platforminstellingen (inclusief standaard openbare instellingen; en instellingen die verband houden met de bovengenoemde functie “Family Pairing”); evenals het onderzoeken van leeftijdsverificatie als onderdeel van het registratieproces.
De DPC keek ook naar “bepaalde” transparantieverplichtingen, waaronder hoe informatie werd verstrekt aan minderjarige gebruikers met betrekking tot standaardinstellingen.
Uit de voorlopige bevindingen (ontwerpbesluit) blijkt dat er iets minder inbreuken op de AVG zijn gepleegd dan in het definitieve besluit van vandaag zijn bevestigd. Maar er werden bezwaren tegen het ontwerpbesluit geuit door twee andere autoriteiten (de Italiaanse DPA en de Berlijnse autoriteit) en het meningsverschil werd doorgegeven aan de Europese Raad voor Gegevensbescherming (EDPB) om een bindend besluit te nemen – die het erover eens was dat er ook een inbreuk moest worden vastgesteld. van het eerlijkheidsbeginsel van de AVG. De Raad heeft Ierland ook bevolen om de reikwijdte van het bevel om de verwerking in overeenstemming te brengen uit te breiden met betrekking tot de herstelwerkzaamheden die nodig zijn om de schending van de redelijkheid aan te pakken.
Het definitieve besluit van de DPC werd op 1 september 2023 aangenomen – wat suggereert dat TikTok tot begin december de tijd heeft om de naleving van de AVG te corrigeren, anders riskeert hij verdere sancties.
Hoewel het bedrijf beweert dat het het grootste deel van de problemen waarvoor vandaag sancties gelden al heeft opgelost – vandaar het “specifieke” bezwaar tegen de hoogte van de boete.
De Britse privacytoezichthouder, de ICO, heeft eerder dit jaar zijn eigen boete opgelegd aan TikTok – ook met betrekking tot de omgang met gegevens van kinderen – en heeft een boete van ~$15,7 miljoen opgelegd voor het overtreden van het Britse gegevensbeschermingsregime tussen mei 2018 en juli 2020. onder meer omdat het er niet in is geslaagd te voorkomen dat naar schatting 1,4 miljoen minderjarige gebruikers toegang krijgen tot het platform.
Vorig jaar werd in de EU een grotere AVG-boete opgelegd op Instagram, eigendom van Meta, ook in verband met schendingen van de gegevensbescherming die kinderen treffen. In dat geval kreeg de technologiegigant een sanctie van € 405 miljoen opgelegd aan het einde van een DPC-onderzoek dat in oktober 2020 begon.
Sancties met betrekking tot de kinderbescherming vormen nog steeds de grootste straffen die de Europese privacytoezichthouders de afgelopen jaren hebben opgelegd. Hoewel de betrokken bedragen nog steeds ver verwijderd zijn van de grootste AVG-sanctie tot nu toe: een boete van € 1,2 miljard voor de illegale gegevensoverdrachten van Meta.
Dat biedt TikTok misschien niet veel troost, aangezien de eigen data-export in de EU nog steeds wordt onderzocht. De plaatsvervangend commissaris van de DPC, Graham Doyle, vertelde TechCrunch dat het hoopt tegen het einde van het jaar een ontwerpbesluit over dit tweede TikTok-onderzoek, gericht op gegevensoverdracht, ter beoordeling aan andere regionale gegevensbeschermingsautoriteiten te kunnen voorleggen. (Een definitief besluit zou daarom in 2024 moeten komen – waarbij de exacte timing afhangt van de vraag of andere autoriteiten het niet eens zijn met de voorlopige bevindingen van Ierland.)
Sinds de inwerkingtreding van de verordening is de EDPB opgeroepen om bindende besluiten te nemen over een aantal door Ierland geleide AVG-onderzoeken naar Big Tech. In alle gevallen zijn de daaruit voortvloeiende sancties door tussenkomst van de Raad verscherpt – soms substantieel en vaak zowel wat betreft de omvang van de opgelegde financiële boetes als de reikwijdte van de bevindingen van de overtreding.
Druk om te handelen
De Ierse toezichthouder opende de twee bovengenoemde TikTok-onderzoeken naar gegevensoverdrachten en het onderzoek naar het besluit van vandaag over de verwerking van gegevens van minderjarigen, twee jaar geleden. Deze stap volgde op druk van andere gegevensbeschermingsautoriteiten en consumentenbeschermingsgroepen in de EU, die zorgen hadden geuit over de manier waarop het platform omgaat met gebruikersgegevens in het algemeen en met de informatie van kinderen in het bijzonder.
Eerder dat jaar ondernam de Italiaanse gegevensbeschermingsautoriteit noodmaatregelen tegen TikTok vanwege bezorgdheid over de veiligheid van kinderen. Zijn tussenkomsten leidden ertoe dat het platform de leeftijd van elke gebruiker in het land opnieuw controleerde en meer dan een half miljoen accounts opschoonde waarvan het niet kon verifiëren dat het niet toebehoorde aan minderjarigen onder de 13 jaar.
Rond deze tijd hebben de consumentenbeschermingsautoriteiten van de EU ook een reeks alarmsignalen geuit over privacy- en kinderveiligheidsproblemen. Maar het duurde nog enkele maanden voordat de Ierse toezichthouder zijn onderzoek aankondigde.
De trage reactie op de bezorgdheid over de veiligheid van kinderen als gevolg van het gebruik van TikTok door kinderen heeft ertoe bijgedragen dat de commissaris van de DPC, Helen Dixon, aan de ontvangende kant stond van vijandige ondervragingen door leden van het Europees Parlement tijdens een hoorzitting in het Europees Parlement eerder dit jaar. EU-wetgevers hebben ook bredere zorgen geuit over de aanpak van de toezichthouder, waarbij ze zich afvragen of de Ierse toezichthouder de taak heeft om de AVG op grote technologieplatforms te handhaven.
Dixon reageerde met een robuuste verdediging van wat volgens haar “drukke AVG-handhaving” door de Ierse autoriteit is. Specifiek op TikTok beweerde ze dat de DPC zo snel mogelijk werkt gezien de grote hoeveelheden materiaal die worden onderzocht.
Source link: https://techcrunch.com/2023/09/15/tiktok-gdpr-childrens-data-decision/
