Tik Tok оштрафували на 345 млн євро за недотримання правил обробки даних неповнолітніх

15 вересня 2023 391 Data privacy комiтет, IT комiтет

Автор: Едуард Голодницький, Президент International Advisers Association, CEO Firm24

1 вересня 2023 року Комісія із захисту даних Ірландії (The Data Protection Commission) ухвалила остаточне рішення щодо свого розслідування щодо TikTok Technology Limited (TTL).

Розслідування мало на меті перевірити, наскільки протягом періоду з 31 липня 2020 року по 31 грудня 2020 року TikTok дотримувалася вимог GDPR з обробки персональних даних користувачів-дітей, а саме загальнодоступні налаштування за замовчуванням та перевірки віку при реєстрації.

DPC також вивчив зобов’язання TikTok щодо прозорості, наданої дітям-користувачам, щодо налаштувань за замовчуванням.

На завершення свого розслідування 13 вересня 2022 року DPC подав проект рішення всім зацікавленим наглядовим органам (CSA) для цілей статті 60(3) GDPR. У проекті рішення DPC пропонувались висновки про порушення статей 5( 1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1) і 13(1)(e) GDPR стосовно вищезазначеної обробки. Хоча щодо запропонованих висновків DPC був досягнутий широкий консенсус, заперечення проти проекту рішення були висунуті наглядовими органами (кожна SA, спільно SA) Італії та Берліна (діючи від свого імені та від імені Баден-Вюртемберга SA).

2 серпня 2023 року Європейська рада із захисту даних (EDPB) прийняла обов’язкове рішення щодо предмета заперечень із вказівкою, що DPC має внести зміни до свого проекту рішення, щоб включити новий висновок про порушення принципу статті 5(1)(a) GDPR справедливості, на додаток до заперечень, висунутих Berlin SA, і розширити сферу дії існуючого наказу, щоб привести обробку у відповідність, щоб включити посилання на коригувальну роботу, необхідну для усунення цього нового виявлення порушення.

Рішення DPC, ухвалене 1 вересня 2023 року, фіксує факти порушення статей 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12 (1), 13(1)(e) і 5(1)(a) GDPR ів вимогає від TikTok привести свою обробку даних у відповідність протягом 3 місяців із дати рішення DPC та адміністративні штрафи на загальну суму 345 мільйонів євро.

EDPB опублікувала рішення за статтею 65 та остаточне рішення на своєму веб-сайті.

The Data Protection Commission