V nadväznosti na záväzné rozhodnutie EDPB o riešení sporov vydal dňa 15. septembra Írsky úrad na ochranu údajov (IE DPA) konečné rozhodnutie, v ktorom konštatoval, že spoločnosť TikTok Technology Limited (TikTok) porušila zásadu spravodlivosti podľa GDPR pri spracúvaní osobných údajov týkajúcich sa detí vo veku 13 až 17 rokov. Rozhodnutie EDPB bolo vydané 2. augusta 2023 a vzťahuje sa na spracovateľské činnosti spoločnosti TikTok v období od 31. júla do 31. decembra 2020.
"Spoločnosti sociálnych médií sú zodpovedné za to, aby používateľom, najmä deťom, neprezentovali voľby nespravodlivým spôsobom - najmä ak táto prezentácia môže ľudí podnietiť k rozhodnutiam, ktoré porušujú ich záujmy na ochranu súkromia. Možnosti týkajúce sa ochrany súkromia by sa mali poskytovať objektívnym a neutrálnym spôsobom a mali by sa vyhýbať akémukoľvek klamlivému alebo manipulatívnemu jazyku alebo dizajnu. Týmto rozhodnutím EDPB opäť dáva jasne najavo, že digitálni hráči musia byť mimoriadne opatrní a prijať všetky potrebné opatrenia na ochranu práv detí na ochranu údajov."
EDPB vo svojom záväznom rozhodnutí analyzoval dizajnérske postupy uplatňované spoločnosťou TikTok v kontexte dvoch vyskakovacích okien, ktoré sa zobrazovali deťom vo veku 13 až 17 rokov, a to vyskakovacie okno Registrácia a vyskakovacie okno Umiestnenie videa. Analýzou sa zistilo, že obe vyskakovacie okná nepredstavili používateľovi možnosti objektívnym a neutrálnym spôsobom.
Vo vyskakovacom okne Registrácia boli deti nabádané, aby si zvolili verejný účet výberom tlačidla na pravej strane označeného ako „Preskočiť,“ čo by potom malo kaskádový účinok na súkromie dieťaťa na platforme, napríklad sprístupnením komentárov k videoobsahu vytvorenému deťmi.
Vo vyskakovacom okne pre zverejňovanie videí boli deti nabádané, aby klikli na tlačidlo „Zverejniť teraz“, ktoré bolo prezentované tučným tmavším textom umiestneným na pravej strane, a nie na svetlejšie tlačidlo „Zrušiť“. Používatelia, ktorí chceli, aby bol ich príspevok súkromný, museli najprv vybrať možnosť „zrušiť“ a potom hľadať nastavenia ochrany osobných údajov, aby sa prepli na „súkromný účet“. Používatelia boli teda povzbudzovaní, aby si zvolili verejné predvolené nastavenia, pričom spoločnosť TikTok im sťažovala voľby, ktoré uprednostňovali ochranu ich osobných údajov. Okrem toho boli dôsledky rôznych možností nejasné, najmä pre detských používateľov. EDPB potvrdil, že prevádzkovatelia by nemali sťažovať dotknutým osobám úpravu nastavení ochrany osobných údajov a obmedziť spracúvanie.
EDPB tiež zistil, že spoločnosť TikTok v dôsledku predmetných postupov porušila zásadu spravodlivosti podľa GDPR. EDPB preto nariadil IE DPA, aby do svojho konečného rozhodnutia zahrnul zistenie tohto ďalšieho porušenia a nariadil spoločnosti TikTok, aby dodržiavala GDPR odstránením takýchto dizajnových praktík.
EDPB vyjadril vážne pochybnosti o účinnosti opatrení na overenie veku, ktoré spoločnosť TikTok zaviedla počas obdobia od 31. júla do 31. decembra 2020, najmä vzhľadom na závažnosť rizík pre vysoký počet dotknutých detí. EDPB okrem iného zistil, že vekovú bránu, ktorú TikTok zaviedol na zabránenie prístupu k platforme pre detských používateľov mladších ako 13 rokov, bolo možné ľahko obísť, a že opatrenia uplatňované po tom, ako používatelia získali prístup k TikTok, neboli uplatňované dostatočne systematicky.
Na základe dostupných prvkov v rámci tohto postupu riešenia sporov EDPB dospel k záveru, že nemá dostatočné informácie, najmä pokiaľ ide o stav techniky, aby mohol jednoznačne posúdiť súlad spoločnosti TikTok s čl. 25 ods. 1 GDPR počas tohto obdobia. Vzhľadom na vážne pochybnosti týkajúce sa účinnosti opatrení, ktoré si spoločnosť TikTok zvolila, však EDPB požiadal IE DPA, aby to zohľadnil vo svojom konečnom rozhodnutí.
Konečné rozhodnutie IE DPA zahŕňa právne posúdenie vyjadrené EDPB v jeho záväznom rozhodnutí. Toto rozhodnutie bolo prijaté na základe čl. 65 ods. 1 písm. a) GDPR po tom, ako orgán IE DPA ako vedúci dozorný orgán (LSA) spustil postup riešenia sporov týkajúci sa námietok vznesených niektorými dotknutými dozornými orgánmi (CSA). Tieto námietky načrtli rozsah rozhodnutia EDPB, ktorý je opísaný vyššie.
Konečné rozhodnutie IE DPA zahŕňa aj právne posúdenie, ktoré nebolo predmetom námietok CSA, ako napríklad zistenie, že predvolené verejné nastavenia boli v rozpore so zásadami ochrany údajov už v štádiu návrhu a predvoleného nastavenia, minimalizácie údajov a transparentnosti. Okrem pokarhania a príkazu na dodržiavanie predpisov orgán pre ochranu údajov IE uložil pokutu vo výške 345 mil.
Konečné rozhodnutie prijaté orgánom IE DPA je k dispozícii v Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
