Kršenje privatnosti djece koštalo TikTok rekordnih 345 milijuna eura kazne

TikTok kažnjen s rekordnom kaznom od 345 milijuna eura zbog kršenja privatnosti djece prema GDPR-u

Popularna društvena mreža TikTok kažnjena je od strane irskog nadzornog tijela za zaštitu podataka (DPC) s velikom kaznom od 345 milijuna eura zbog kršenja prava privatnosti djece prema Općoj uredbi EU o zaštiti podataka (GDPR). Ovo predstavlja najveću GDPR kaznu ikad izrečenu TikToku i služi kao ozbiljno upozorenje tvrtkama koje posluju u Europi u vezi usklađenosti sa zakonima o zaštiti podataka.

Povrede GDPR-a

Prema DPC-u, TikTok nije na odgovarajući način zaštitio osobne podatke maloljetnika na nekoliko ključnih načina:

  • Računi korisnika u dobi od 13 do 17 godina bili su javni po zadanim postavkama od srpnja do prosinca 2020., omogućujući bilo kome da vidi i komentira njihove videozapise. To predstavlja veliki rizik za privatnost.
  • TikTok nije primjereno procijenio rizike pristupa platforme osobama mlađim od 13 godina i nije učinio dovoljno kako bi spriječio da se to dogodi.
  • Platforma je koristila manipulativne “dark pattern” dizajne kako bi natjerali tinejdžere da svoje račune učine javnima prilikom registracije.
  • Računi maloljetnika potencijalno su spojeni s neprovjerenim računima odraslih osoba tijekom druge polovice 2020.
  • TikTok nije na odgovarajući način objasnio maloljetnicima posljedice javnog računa.

DPC je utvrdio da su ovi postupci prekršili GDPR zahtjeve u vezi zakonite, transparentne i sigurne obrade podataka djece. TikToku je naloženo da u roku od tri mjeseca promijeni svoj zavaravajući proces registracije računa.

Odgovor TikToka na kaznu

Kao odgovor na kaznu, TikTok je naveo: “S poštovanjem, ne slažemo se  s odlukom, posebno s visinom kazne. Kritike su usredotočene na značajke i postavke koje su postojale prije tri godine, a koje smo promijenili puno prije nego što je istraga uopće započela.”

Tvrtka kaže da se ne slaže s visinom kazne, ali će se pridržavati uputa DPC-a kako bi dodatno poboljšala zaštitu privatnosti tinejdžera. TikTok tvrdi da se utvrđeni problemi odnose na stare postavke koje su od tada izmijenjene.

GDPR u Hrvatskoj

Iako TikTok snosi teške posljedice zbog nepoštivanja GDPR-a u Irskoj, implikacije ovog slučaja protežu se diljem EU. Kod nas u Hrvatskoj, lokalno nadzorno tijelo ili AZOP odgovorno je za provedbu GDPR-a.

Nedavne kontrole AZOP-a otkrile su brojne hrvatske tvrtke koje ne udovoljavaju zahtjevima GDPR-a u vezi obrade podataka, sigurnosti i prava ispitanika. Zagrebački holding nedavno je kažnjen s 25.000 EUR od strane AZOP-a zbog sljedećih  GDPR propusta:

  • Nije na odgovarajući način informirao korisnike usluga o pravnoj osnovi i periodu čuvanja kopija identifikacijskih dokumenata u svrhu izdavanja preslika računa e-mailom. To krši članak 13(1)(c) i 13(2)(a),(e) o zahtjevima transparentnosti.
  • Nije implementirao odgovarajuće tehničke i organizacijske mjere prilikom obrade osobnih podataka u svrhu identifikacije korisnika za slanje preslika računa e-mailom. To krši članak 25(2) o sigurnosti podataka.
  • Nedostaju jasna pravila za identifikaciju korisnika putem e-maila, umjesto toga tražio je kopije identifikacijskih dokumenata kada se korisnikov e-mail nije podudarao s imenom. To je rezultiralo nesigurnom obradom kopija identifikacijskih dokumenata bez odgovarajuće transparentnosti prema korisnicima.

Ovaj primjer pokazuje da je započelo  pojačano provođenje GDPR-a u Hrvatskoj. Tvrtke moraju osigurati potpunu usklađenost ili riskiraju visoke kazne poput ranije nevedenih.

Zaštita podataka djece

Ključna pouka iz slučaja TikTok je da je potrebno posebno paziti prilikom obrade osobnih podataka djece. Zbog svoje ranjivosti, maloljetnici zaslužuju posebnu zaštitu prema GDPR-u. Tvrtke bi trebale:

  • Procijeniti i umanjiti rizike za djecu prilikom obrade njihovih podataka.
  • Pružiti jasne informacije maloljetnicima jednostavnim, primjerenim jezikom.
  • Isključiti postavke poput geolokacije i profiliranja za maloljetne korisnike.
  • Uspostaviti jasne mjere za provjeru dobi kako bi spriječili pristup maloljetnih korisnika platformama.
  • Provesti procjene učinka na zaštitu podataka usredotočene na dobrobit djece.
  • Imenovati osoblje posvećeno zaštiti privatnosti djece.
  • Ograničiti prikupljanje i čuvanje podataka o djeci.

Poštivanje ovih pojačanih mjera zaštite osjetljivih informacija maloljetnih korisnika pomoći će u izbjegavanju velikih kazni.

Postizanje usklađenosti s GDPR-om

S regulatorima koji sve strože provode GDPR diljem Europe, tvrtke moraju uskladiti svoje  prakse obrade podataka s GDPR uredbom ako upravljaju podacima građana EU. Preporučuje se provesti cjelovitu provjeru usklađenosti s GDPR-om (Audit) kako bi se identificirali nedostaci.

Stručnjaci za GDPR također mogu pomoći u područjima kao što su:

  • Izrada politika i procedura zaštite podataka
  • Obuka zaposlenika o obvezama prema GDPR-u
  • Provođenje detaljnih procjena učinka na zaštitu podataka
  • Imenovanje  službenika za zaštitu podataka
  • Implementacija kontrola sigurnosti podataka
  • Rukovanje zahtjevima za pristup i brisanje podataka te povredama podataka
  • Nadzor vođenja evidencija i izvještavanja

Korištenje stručnih smjernica može pomoći u osiguravanju zakonite, etične obrade osobnih podataka i izbjegavanju velikih kazni. Suradnjom sa stručnjacima iz konzultantskih firmi poput Vision Compliance-a, tvrtke mogu postići snažnu usklađenost s GDPR-om i povjerenje korisnika.

Share This:

Facebook
WhatsApp
Twitter
Email