V septembri 2023 udelila írska Komisia na ochranu údajov (DPC) spoločnosti TikTok Technology Limited pokutu GDPR vo výške 345 miliónov eur. Hoci TikTok patrí medzi najpopulárnejšie sociálne siete medzi tínedžermi, podľa regulátora nevenoval dostatočnú pozornosť ochrane osobných údajov maloletých používateľov, najmä v oblasti overovania veku a nastavení súkromia.
Slabé overovanie veku a riziko verejných účtov
Jednou z hlavných výhrad bolo, že TikTok nezabezpečil efektívny systém overovania veku, čo znamenalo, že sa na platformu mohli jednoducho registrovať aj deti mladšie ako 13 rokov – veková hranica stanovená v rámci GDPR pre spracovanie údajov na základe súhlasu v kontexte služieb informačnej spoločnosti.
Okrem toho boli účty maloletých používateľov predvolene nastavené ako verejné, čo umožňovalo, aby ich videá, profilové informácie a komentáre videla široká verejnosť. To predstavovalo významné riziko pre súkromie a bezpečnosť detí, vrátane možného zneužitia ich obsahu.
Nevhodné používateľské rozhranie a „temné vzory“
Vyšetrovanie DPC odhalilo, že TikTok používal tzv. temné vzory – dizajnové praktiky, ktoré nabádali deti k výberu menej súkromných možností pri nastavovaní účtu alebo zdieľaní videí. Výzvy a tlačidlá boli navrhnuté tak, aby bolo jednoduchšie zvoliť si verejné zdieľanie, než zachovať súkromie.
Takýto dizajn nie je v súlade s požiadavkami GDPR na zrozumiteľnosť a transparentnosť. Navyše, v prípade detí sa očakáva zvýšená ochrana, keďže ide o zraniteľnejšiu skupinu používateľov. TikTok mal preto povinnosť zabezpečiť, aby každé rozhodnutie o zdieľaní údajov bolo výsledkom informovaného a slobodného výberu.
Reakcia TikToku a prijaté opatrenia
TikTok uviedol, že s rozhodnutím nesúhlasí, no rešpektuje ho a zároveň upozornil, že mnohé z kritizovaných praktík už medzičasom zmenil. V súčasnosti sú účty používateľov vo veku 13 až 15 rokov predvolene nastavené ako súkromné a spoločnosť implementovala viacero ochranných opatrení, vrátane vylepšených kontrol veku.
Tieto kroky sú však podľa regulátorov len čiastočným riešením. Vzniknutý prípad má slúžiť ako varovanie pre všetky digitálne platformy, že nestačí iba reagovať na výčitky spätne – ochrana údajov detí musí byť súčasťou návrhu služby od samého začiatku.
Dôležité posolstvo pre technologické firmy
Prípad TikToku je ďalším dôkazom, že veľké platformy nesú reálnu zodpovednosť za spôsob, akým spracúvajú údaje svojich používateľov, obzvlášť detí. GDPR nekladie dôraz iba na právne formulácie, ale predovšetkým na praktické dopady nastavení služieb. Ak je dieťa vystavené riziku kvôli nedostatočnej ochrane, ide o vážne porušenie zákona.
Pokuta GDPR vo výške 345 miliónov € je výstrahou, ale zároveň príležitosťou. Firmy majú možnosť zlepšiť svoje služby a vytvoriť bezpečnejšie digitálne prostredie, kde bude ochrana súkromia skutočnou prioritou. V ére neustále rastúcej prítomnosti detí na internete to nie je len právna, ale aj etická povinnosť.
