Το πρόστιμο επιβλήθηκε με απόφαση της εποπτικής αρχής της Ιρλανδίας, στην οποία εδρεύουν οι περισσότερες εταιρείες του Big Tech
Μια ακόμη απόφαση επιβολής προστίμου σε βάρος εταιρείας Big Tech εξέδωσε η ιρλανδική αρχή προστασίας δεδομένων Data Protection Commission (DPC), αυτή τη φορά σε βάρος του δημοφιλούς μέσου κοινωνικής δικτύωσης TikTok.
Πρόκειται για τη δέκατη απόφαση της DPC σε βάρος εταιρείας Big Tech που εδρεύει στην Ιρλανδία και την όγδοη εκ των αποφάσεων αυτών που εκδίδεται μετά από δεσμευτική παρέμβαση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Μετά τις αποφάσεις της σε βάρος των Twitter, WhatsApp, Instagram και Facebook, αυτή τη φορά η DPC επέβαλε πρόστιμο και στο TikTok.
Η έρευνα της ιρλανδικής αρχής ξεκίνησε τον Ιανουάριο του 2021 και αφορούσε τις πρακτικές που ακολουθούσε το TikTok ως προς την επεξεργασία δεδομένων των ανηλίκων χρηστών του κατά το χρονικό διάστημα από 31 Ιουλίου 2020 έως και 31 Δεκεμβρίου 2020. Επισημαίνεται ότι οι πρακτικές αυτές είχαν έκτοτε τροποποιηθεί.
Τα ειδικότερα ζητήματα που εξετάστηκαν από την DPC ήταν
– Συγκεκριμένες ρυθμίσεις της πλατφόρμας, με σημαντικότερη εξ αυτών την public-by-default επιλογή κατά τη δημιουργία λογαριασμού. Η ρύθμιση αυτή συνεπαγόταν πως ο ανήλικος χρήστης που δημιουργούσε λογαριασμό όφειλε να επιλέξει ο ίδιος τον περιορισμό του κοινού (“go private”), διαφορετικά το περιεχόμενο που θα ανέβαζε θα ήταν από προεπιλογή ορατό από όλους, εντός, αλλά και εκτός εφαρμογής, μέσω του site του TikTok.
Φωτογραφία 1: Η επιλογή που δινόταν στον χρήστη κατά τη δημιουργία λογαριασμού.
– Η επαλήθευση της ηλικίας των εγγραφόμενων χρηστών, ούτως ώστε να αποτρέπεται η εγγραφή παιδιών κάτω των 13 ετών,
– Η διαφάνεια και η πληρότητα των πληροφοριών που παρέχονταν στους ανήλικους χρήστες σχετικά με την προεπιλεγμένη δημοσιότητα του λογαριασμού τους. Κρίσιμο στοιχείο, εν προκειμένω, ήταν αν με τη χρήση όρων όπως “anyone”, “everyone” ή “third parties”, όπως αυτοί δίνονταν στις pop-up ενημερώσεις και τα κείμενα ενημέρωσης των χρηστών, μπορούσαν οι ανήλικοι χρήστες να αντιληφθούν πως τα βίντεο που θα ανεβάσουν (ή τα σχόλια που θα κάνουν) θα είναι ορατά ακόμη και από πρόσωπα που δεν είναι χρήστες της πλατφόρμας.
Η δεσμευτική απόφαση του ΕΣΠΔ
Μετά την ολοκλήρωση της έρευνάς της, η DPC υπέβαλε σχέδιο απόφασης σε όλες τις ενδιαφερόμενες εποπτικές αρχές του Γενικού Κανονισμού Προστασίας Δεδομένων, ήτοι εν προκειμένω σε όλες τις αρχές προστασίας δεδομένων της Ευρωπαϊκής Ένωσης.
Το σχέδιο απόφασης της DPC πρότεινε τη διαπίστωση παράβασης των άρθρων 5 παρ.1γ’ και στ’ (αρχή ελαχιστοποίησης και ασφάλεια των δεδομένων), 25 παρ.1 και 2 (προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού), και 13 παρ.1ε’ ΓΚΠΔ (ενημέρωση υποκειμένων σχετικά με τους αποδέκτες των δεδομένων). Αντιρρήσεις στο σχέδιο απόφασης προέβαλαν οι εποπτικές αρχές της Ιταλίας και του Βερολίνου, ενώ σχόλια υπέβαλαν οι αρχές της Δανίας, Ολλανδίας, Ουγγαρίας και Γαλλίας.
Η εποπτική αρχή του Βερολίνου ζήτησε να συμπεριληφθεί ένα πρόσθετο πόρισμα για παράβαση της αρχής της αντικειμενικότητας του άρθρου 5 παρ.1α’ ΓΚΠΔ, ενώ η ιταλική Garante ζήτησε να την αναθεώρηση των προτεινόμενων συμπερασμάτων σχετικά με τη συμμόρφωση με το άρθρο 25 ΓΚΠΔ, όσον αφορά την επαλήθευση της ηλικίας των χρηστών. Μετά την αδυναμία εξεύρεσης συναινετικής λύσης, η υπόθεση έφτασε στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.
Το ΕΣΠΔ ανέλυσε τις πρακτικές που εφάρμοσε το TikTok στο πλαίσιο των pop-up ειδοποιήσεων που εμφανίζονταν σε παιδιά ηλικίας 13-17 ετών: την ειδοποίηση εγγραφής και την ειδοποίηση δημοσίευσης βίντεο. Η ανάλυση κατέδειξε πως και τα δύο αναδυόμενα παράθυρα αποτύγχαναν στο να παρουσιάσουν στον χρήστη τις επιλογές που είχε με τρόπο αντικειμενικό και ουδέτερο.
Στο αναδυόμενο παράθυρο εγγραφής, τα παιδιά ωθούνταν να επιλέξουν δημόσιο λογαριασμό (επιλέγοντας απλά τη λέξη “Skip” στη δεξιά πλευρά), κάτι το οποίο θα είχε αλυσιδωτές επιπτώσεις στην ιδιωτική ζωή του παιδιού, αφού θα καθιστούσε προσβάσιμα όχι μόνο τα βίντεο του παιδιού, αλλά και τα σχόλια στο περιεχόμενο του λογαριασμού του.
Φωτογραφία 2: Το αναδυόμενο παράθυρο πριν τη δημοσίευση βίντεο.
Στο αναδυόμενο παράθυρο δημοσίευσης βίντεο, τα παιδιά ωθούνταν να κάνουν κλικ στο κουμπί “Post Now”, το οποίο παρουσιαζόταν με έντονο, πιο σκούρο κείμενο σε σχέση με την επιλογή “Cancel”. Περαιτέρω, οι ανήλικοι χρήστες που δεν ήθελαν να δημοσιεύσουν βίντεο ορατό σε όλους δεν είχαν την επιλογή να προχωρήσουν στην άμεση ρύθμιση ιδιωτικότητας. Αντ’ αυτού, έπρεπε πρώτα να επιλέξουν “ακύρωση” και στη συνέχεια να αναζητήσουν τις ρυθμίσεις απορρήτου προκειμένου να γυρίσουν τον λογαριασμό τους σε “ιδιωτικό”. Ως εκ τούτου, οι χρήστες ενθαρρύνονταν να επιλέγουν τις ρυθμίσεις “public-by-default”, με το TikTok να τους δυσκολεύει να κάνουν επιλογές που ευνοούσαν την προστασία των προσωπικών τους δεδομένων. Επιπλέον, οι συνέπειες των διαφορετικών επιλογών ήταν ασαφείς, ιδίως για τους χρήστες-παιδιά.
Το ΕΣΠΔ διαπίστωσε επίσης ότι, ως αποτέλεσμα των εν λόγω πρακτικών, η TikTok παραβίασε την αρχή της αντικειμενικότητας (θεμιτής επεξεργασίας) του ΓΚΠΔ. Κατά συνέπεια, το Συμβούλιο ανέθεσε στην ιρλανδική αρχή να συμπεριλάβει, στην τελική της απόφαση, τη διαπίστωση αυτής της πρόσθετης παράβασης και να διατάξει την TikTok να συμμορφωθεί με τον ΓΚΠΔ καταργώντας τις εν λόγω πρακτικές σχεδιασμού.
Το ΕΣΠΔ αξιολόγησε επίσης κατά πόσον τα μέτρα επαλήθευσης της ηλικίας που εφάρμοσε η TikTok μεταξύ της 31ης Ιουλίου και της 31ης Δεκεμβρίου 2020 συμμορφώνονται με τις απαιτήσεις της προστασίας των δεδομένων εκ σχεδιασμού (άρθρο 25 παρ. 1 ΓΚΠΔ). Το Συμβούλιο εξέφρασε σοβαρές αμφιβολίες σχετικά με την αποτελεσματικότητα των μέτρων επαλήθευσης της ηλικίας που εφάρμοσε η TikTok κατά τη διάρκεια αυτής της περιόδου, ιδίως λαμβάνοντας υπόψη τη σοβαρότητα των κινδύνων για τον μεγάλο αριθμό των παιδιών που επηρεάστηκαν.
Με βάση τα στοιχεία που ήταν διαθέσιμα στο πλαίσιο της διαδικασίας επίλυσης διαφορών, το ΕΣΠΔ κατέληξε στο συμπέρασμα ότι δεν διέθετε επαρκείς πληροφορίες, ιδίως σε σχέση με το state of the art, ώστε να αξιολογήσει οριστικά τη συμμόρφωση της TikTok με το άρθρο 25 ΓΚΠΔ κατά τη διάρκεια αυτής της περιόδου. Ωστόσο, λαμβάνοντας υπόψη τις σοβαρές αμφιβολίες σχετικά με την αποτελεσματικότητα των μέτρων που επέλεξε η TikTok, ζητήθηκε από την ιρλανδική αρχή να αποτυπωθεί αυτό στην τελική της απόφαση.
Οι τελικές διαπιστώσεις της ιρλανδικής αρχής
1. Η TikTok απέτυχε να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίσει ότι επεξεργαζόταν εκ προεπιλογής μόνο προσωπικά δεδομένα που ήταν αναγκαία για τον σκοπό της επεξεργασίας. Ειδικότερα, η επεξεργασία αυτή πραγματοποιήθηκε σε παγκόσμια κλίμακα και σε συνθήκες όπου τα εφαρμοζόμενα μέτρα δεν διασφάλιζαν ότι, εξ ορισμού, το περιεχόμενο των ανηλίκων χρηστών δεν θα ήταν προσβάσιμο (χωρίς την παρέμβαση του χρήστη) σε απεριόριστο αριθμό φυσικών προσώπων. Ως εκ τούτου, η ανωτέρω επεξεργασία ήταν αντίθετη προς την αρχή της προστασίας των δεδομένων από τον σχεδιασμό και εξ ορισμού σύμφωνα με το άρθρο 25 παρ.1 και 2 ΓΚΠΔ, και αντίθετη προς την αρχή της ελαχιστοποίησης των δεδομένων σύμφωνα με το άρθρο 5 παρ.1γ ΓΚΠΔ.
2. H TikTok εφάρμοσε μια προεπιλεγμένη ρύθμιση λογαριασμού για τους ανήλικους χρήστες, η οποία επέτρεπε σε οποιονδήποτε (εντός ή εκτός του TikTok) να βλέπει το περιεχόμενο που αναρτούσαν. Η ανωτέρω επεξεργασία εγκυμονούσε σοβαρούς κινδύνους για τα δικαιώματα και τις ελευθερίες των ανήλικων χρηστών. Δεδομένης της μη λήψης υπόψιν των κινδύνων που εγκυμονούσε η ανωτέρω επεξεργασία, η TikTok δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι η επεξεργασία πραγματοποιήθηκε σύμφωνα με το άρθρο 24 παρ.1 ΓΚΠΔ.
3. Η TikTok εφάρμοσε μια ρύθμιση που ονομάζεται “Family Pairing”, με την οποία ένας χρήστης που δεν είναι παιδί μπορούσε να αντιστοιχίσει το λογαριασμό του με αυτόν του παιδιού. Αυτή η ρύθμιση της πλατφόρμας επέτρεπε στον ενήλικα χρήστη να ενεργοποιεί τη λήψη απευθείας μηνυμάτων για ανήλικους χρήστες άνω των 16 ετών. Η επεξεργασία αυτή εγκυμονούσε σοβαρούς δυνητικούς κινδύνους για τα δικαιώματα και τις ελευθερίες των παιδιών. Η TikTok παρέλειψε να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αποτελεσματική εφαρμογή της αρχής της ακεραιότητας και της εμπιστευτικότητας και να ενσωματώσει τις απαραίτητες εγγυήσεις στην επεξεργασία, προκειμένου να προστατεύσει τα δικαιώματα των υποκειμένων των δεδομένων. Ως εκ τούτου, η εν λόγω επεξεργασία πραγματοποιήθηκε κατά παράβαση των άρθρων 5 παρ.1α και 25 παρ.1 ΓΚΠΔ.
4. Η TikTok εφάρμοσε μια προεπιλεγμένη ρύθμιση λογαριασμού για τους ανήλικους χρήστες, η οποία επέτρεπε σε οποιονδήποτε (εντός ή εκτός του TikTok) να βλέπει το περιεχόμενο που αναρτούσαν. Η ανωτέρω επεξεργασία εγκυμονούσε σοβαρούς πιθανούς κινδύνους για τα δικαιώματα και τις ελευθερίες των παιδιών χρηστών, ενώ δημιουργούσε και αρκετούς κινδύνους για τα δικαιώματα και τις ελευθερίες των παιδιών ηλικίας κάτω των 13 ετών, τα οποία αποκτούσαν πρόσβαση στην πλατφόρμα. Η επεξεργασία αυτή, πραγματοποιηθείσα χωρίς τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, παραβίασε το άρθρο 24 παρ.1 ΓΚΠΔ.
5. Στις περιπτώσεις κατά τις οποίες η TikTok δεν παρείχε στους ανήλικους χρήστες πληροφορίες σχετικά με αποδέκτες ή τις κατηγορίες αποδεκτών των προσωπικών δεδομένων, δεν συμμορφώθηκε με τις υποχρεώσεις της βάσει του άρθρου 13 παρ.1ε ΓΚΠΔ. Στις περιπτώσεις κατά τις οποίες η TikTok δεν παρείχε στους ανήλικους χρήστες πληροφορίες σχετικά με το πεδίο εφαρμογής και τις συνέπειες της προεπιλεγμένης δημόσιας επεξεργασίας (δηλαδή της λειτουργίας ενός μέσου κοινωνικής δικτύωσης το οποίο, από προεπιλογή, επιτρέπει σε οποιονδήποτε να βλέπει τις αναρτήσεις των παιδιών) με συνοπτικό, διαφανή και κατανοητό τρόπο και σε μορφή εύκολα προσβάσιμη, χρησιμοποιώντας σαφή και ξεκάθαρη γλώσσα, ιδίως στο βαθμό που οι πολύ περιορισμένες πληροφορίες που παρείχε δεν κατέστησαν καθόλου σαφές ότι αυτό θα συνέβαινε, η εταιρεία δεν συμμορφώθηκε με τις υποχρεώσεις της βάσει του άρθρου 12 παρ.1 ΓΚΠΔ.
6. Με βάση την απόφαση του ΕΣΠΔ, η πρακτική της TikTok να χρησιμοποιεί αναδυόμενα παράθυρα (εγγραφής και δημοσίευσης) τα οποία είχαν ως προεπιλεγμένη ρύθμιση τον δημόσιο (public) χαρακτήρα, αποτέλεσε και παραβίαση της αρχής της αντικειμενικότητας του άρθρου 5 παρ.1α’ ΓΚΠΔ. Τούτο διότι, τα παράθυρα αυτά ουσιαστικά ωθούσαν τον χρήστη προς μια συγκεκριμένη απόφαση και τον οδηγούσαν στο να λάβει ασυνείδητα αποφάσεις που ήταν σε βάρος της ιδιωτικότητάς του. Με το να κάνει δυσκολότερη για τα υποκείμενα των δεδομένων μια επιλογή προστασίας των προσωπικών δεδομένων τους, αντί για το αντίθετο, η TikTok χρησιμοποίησε αθέμιτες πρακτικές και επεξεργασίες.
Η απόφαση της ιρλανδικής αρχής
Με βάση τις ως άνω διαπιστώσεις, η DPC:
α. Έδωσε εντολή στην TikTok να συμμορφώσει τις πρακτικές της, με βάση τις παρατηρήσεις της αρχής, εντός διαστήματος τριών (3) μηνών.
β. Επέβαλε στην TikTok πρόστιμο 345 εκατομμυρίων ευρώ και ειδικότερα
- 100 εκατομμύρια ευρώ για την παραβίαση των άρθρων 5 παρ.1γ’ και 25 παρ.1 και 2 ΓΚΠΔ (1η διαπίστωση)
- 65 εκατομμύρια ευρώ για την παραβίαση των άρθρων 5 παρ.1στ’ και 25 παρ.1 ΓΚΠΔ (3η διαπίστωση)
- 180 εκατομμύρια ευρώ για την παραβίαση των άρθρων 12 παρ.1 και 13 παρ.1ε’ ΓΚΠΔ (5η διαπίστωση)