Uzun zaman oldu ancak TikTok’un sonunda çocuk verilerinin işlenmesiyle ilgili olarak Avrupa Birliği’nin Genel Veri Koruma Yönetmeliğini (GDPR) ihlal ettiği ortaya çıktı. İrlanda Veri Koruma Komisyonu (DPC) tarafından bugün yayınlanan karar uyarınca, video paylaşım platformu kınama cezasına çarptırıldı ve 345 milyon Euro (~ 379 milyon $) para cezasına çarptırıldı. Ayrıca, suç teşkil eden veri işlemlerini üç ay içinde uyumlu hale getirmesi de emredildi.
Toplamda TikTok’un GDPR’nin aşağıdaki sekiz maddesini ihlal ettiği tespit edildi: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); ve 13(1)(e) — diğer bir deyişle veri işlemede yasallığın, adilliğin ve şeffaflığın ihlalleri; veri minimizasyonu; veri güvenliği; kontrolörün sorumluluğu; tasarım ve varsayılan olarak veri koruması; ve veri sahibinin (reşit olmayanlar dahil) veri işlemeyle ilgili açık iletişim alma hakları; ve kişisel verilerinin alıcıları hakkında bilgi almak. Yani bu tam bir başarısızlık listesi.
Karar, TikTok’un yaş doğrulama için kullandığı yöntemlerle ilgili bir ihlal bulmadı ve bu, bir dizi bölgesel düzenleyici için parlama noktası oldu ancak İrlandalı gözlemci, kararın 24(1) Maddesinin ihlalini kaydettiğini belirtiyor. GDPR – TikTok’un, varsayılan hesap ayarının herkesin (TikTok’ta veya dışında) sosyal medyayı görüntülemesine izin vermesi nedeniyle platforma erişim sağlayan 13 yaşın altındakilere yönelik belirli riskleri gerektiği gibi dikkate almaması nedeniyle uygun teknik ve organizasyonel önlemleri uygulamadığını tespit etti. bu kullanıcılar tarafından yayınlanan medya içeriği.
TikTok’un şu anda uyguladığı ayarların, çocuk kullanıcıların kayıt sürecinde, hesapları varsayılan olarak herkese açık olacak şekilde ilerlemelerine olanak tanıdığı görüldü. “Bu aynı zamanda, örneğin çocuk kullanıcıların hesabına gönderilen videoların varsayılan olarak herkese açık olduğu, yorumların varsayılan olarak herkese açık olduğu, ‘Düet’ ve ‘Stitch’ özelliklerinin varsayılan olarak etkin olduğu anlamına da geliyordu”, diyor DPC.
Bir çocuğun hesabı, “Aile Eşleştirme” özelliği aracılığıyla doğrulanmamış, çocuk olmayan bir kullanıcıyla da “eşleştirilebilir” ancak TikTok, kullanıcının bu hesaptan yararlanıp yararlanmadığını doğrulamadı. aslında çocuk kullanıcının ebeveyni veya vasisiydi. Çocuk olmayan kullanıcı, 16 yaşın üzerindeki çocuk kullanıcılar için doğrudan mesajları etkinleştirmek amacıyla bu özelliği kullanabilir; DPC’nin bulgularına göre “böylece bu özellik çocuk kullanıcı için daha az katı hale gelir”.
Karara yanıt veren bir TikTok sözcüsü bize şu açıklamayı gönderdi:
TikTok ayrıca yaptırım ışığında sonraki adımlarını düşündüğünü de söyledi. Dolayısıyla platform İrlanda’da yasal bir itirazda bulunabilir.
TikTok’un Avrupa’daki gizlilik sorumlusu Elaine Fox, web sitesinde yayınlanan daha uzun bir yanıtta, şirketin DPC’nin soruşturması başlamadan önce güvenlik kaygılarını gidermek için aldığını söylediği, 13-15 yaş arası kullanıcıların hesaplarının özel olarak ayarlanması gibi önlemleri detaylandırdı. varsayılan.
Ayrıca 2021’de TikTok’un ilk olduğunu (“ve öyle kalacağını)” iddia etti[s] tek”) kaldırdığı reşit olmayan şüpheli hesapların sayısını kamuya açıklayan büyük bir platform. “Bunu üç ayda bir yayınlıyoruz Topluluk Kuralları Uygulama Raporları ve 2023’ün ilk üç ayında şunları kaldırdık: yaklaşık 17 milyon bu tür hesaplar dünya çapında” diye yazdı ve şunları ekledi: “Yaş güvencesi sektör çapında bir zorluktur. Reşit olmayan kullanıcıları platformdan uzak tutma çabalarımızı daha da geliştirecek yeni çözümler belirlemek için düzenleyici kurumlar ve diğer uzmanlarla iletişim kurmaya devam edeceğiz.”
Blog gönderisine göre TikTok’un birden fazla özelliği var 134 milyon Avrupa Birliği genelinde aylık aktif kullanıcı sayısı.
DPC’nin çocuk verileri TikTok soruşturması beş aylık bir döneme (31 Temmuz 2020 – 31 Aralık 2020) odaklandı – TikTok’un platformun çocuk kullanıcılarıyla ilgili kişisel verileri işlemesiyle ilgili olarak GDPR kapsamındaki yükümlülüklerine uyup uymadığına baktı belirli platform ayarları bağlamında (varsayılan olarak herkese açık ayarlar ve yukarıda belirtilen “Aile Eşleştirme” özelliğiyle ilişkili ayarlar dahil); ayrıca kayıt sürecinin bir parçası olarak yaş doğrulamasının incelenmesi.
DPC ayrıca varsayılan ayarlara ilişkin bilgilerin çocuk kullanıcılara nasıl sağlandığı da dahil olmak üzere “belirli” şeffaflık yükümlülüklerini de inceledi.
Ön bulguları (taslak karar), bugünkü nihai kararda teyit edilenden biraz daha az GDPR ihlali tespit etti. Ancak karar taslağına diğer iki yetkili (İtalya’nın DPA’sı ve Berlin yetkilisi) tarafından itirazlar yapıldı ve anlaşmazlık, bağlayıcı bir karar almak üzere Avrupa Veri Koruma Kurulu’na (EDPB) iletildi; bu kurul da bir ihlal bulgusunun olması gerektiği konusunda hemfikirdi GDPR’nin adalet ilkesi. Kurul ayrıca İrlanda’ya, adalet ihlalini gidermek için gereken düzeltici çalışmalara atıfta bulunmak üzere işlemeyi uygun hale getirmek amacıyla emrin kapsamını genişletmesi talimatını verdi.
DPC’nin nihai kararı 1 Eylül 2023’te kabul edildi; bu, TikTok’un Aralık ayı başına kadar GDPR uyumluluğunu düzeltmesi veya daha fazla yaptırım riskiyle karşı karşıya kalması gerektiğini öne sürüyor.
Her ne kadar şirketin iddiası, bugün için yaptırım uygulanan sorunların büyük bir kısmını zaten çözmüş olduğu yönünde; dolayısıyla para cezasının düzeyine “özel” itirazı var.
Birleşik Krallık’ın gizlilik düzenleyicisi ICO, bu yılın başlarında TikTok’a – ayrıca çocukların verilerinin işlenmesiyle ilgili olarak – Mayıs 2018 ile Temmuz 2020 arasında Birleşik Krallık’ın veri koruma rejimini ihlal ettiği için ~15,7 milyon dolar para cezası veren kendi cezasını verdi. Tahminen 1,4 milyon reşit olmayan kullanıcının platforma erişiminin engellenememesi de dahil.
Geçtiğimiz yıl AB’de, çocukları etkileyen veri koruma ihlalleriyle ilgili olarak Meta’nın sahibi olduğu Instagram’a daha büyük bir GDPR cezası verildi. Bu durumda teknoloji devine, Ekim 2020’de başlayan DPC soruşturmasının sonunda 405 milyon Euro yaptırım uygulandı.
Çocuk koruma endişeleriyle ilgili yaptırımlar, son yıllarda Avrupalı gizlilik düzenleyicileri tarafından verilen en büyük cezalardan bazılarını oluşturmaya devam ediyor. Her ne kadar söz konusu meblağlar bugüne kadarki en büyük GDPR yaptırımından çok uzakta: Meta’nın yasa dışı veri aktarımları nedeniyle verilen 1,2 milyar Euro’luk ceza.
Ancak kendi veri aktarımlarının AB’de soruşturma altında olduğu göz önüne alındığında, bu TikTok için pek de rahatlatıcı olmayabilir. DPC’nin komiser yardımcısı Graham Doyle, TechCrunch’a, veri aktarımlarına odaklanan bu ikinci TikTok soruşturmasına ilişkin bir karar taslağını yıl sonuna kadar incelenmek üzere diğer bölgesel veri koruma yetkililerine sunmayı umduğunu söyledi. (Dolayısıyla nihai kararın 2024’te verilmesi gerekiyor; kesin zamanlama, diğer yetkililerin İrlanda’nın ön bulgularıyla aynı fikirde olup olmamasına bağlı.)
EDPB, düzenlemenin yürürlüğe girmesinden bu yana Big Tech’e ilişkin İrlanda liderliğindeki bir dizi GDPR soruşturması hakkında bağlayıcı kararlar almaya çağrıldı. Her durumda, sonuçta ortaya çıkan yaptırımlar, Kurulun müdahalesi yoluyla, bazen önemli ölçüde ve sıklıkla hem verilen mali cezaların büyüklüğü hem de ihlal bulgularının kapsamı açısından artırılmıştır.
İrlandalı düzenleyici, yukarıda bahsedilen iki TikTok soruşturmasını veri aktarımlarına ve iki yıl önce küçüklerin verilerinin işlenmesine ilişkin bugünkü kararla ilgili soruşturmaya açtı. Bu hareket, platformun genel olarak kullanıcı verilerini ve özel olarak çocuklara ait bilgileri nasıl ele aldığına ilişkin endişelerini dile getiren diğer AB veri koruma yetkilileri ve tüketici koruma gruplarından gelen baskının ardından geldi.
Aynı yılın başlarında İtalya’nın veri koruma kurumu, çocuk güvenliği endişeleri nedeniyle TikTok’a karşı acil önlem aldı. Müdahaleler, platformun ülkedeki her kullanıcının yaşını yeniden kontrol etmesine ve 13 yaşın altındaki çocuklara ait olmadığını doğrulayamadığı yarım milyondan fazla hesabın silinmesine yol açtı.
Bu sıralarda AB tüketiciyi koruma yetkilileri de mahremiyet ve çocuk güvenliği endişeleri konusunda bir dizi kırmızı bayrak kaldırdı. Ancak İrlandalı düzenleyicinin soruşturmasını duyurması birkaç ay daha sürdü.
Çocukların TikTok kullanımından kaynaklanan çocuk güvenliği endişelerine yavaş yanıt verilmesi, DPC komiseri Helen Dixon’ın bu yılın başlarında Avrupa Parlamentosu’nda yapılan bir duruşma sırasında Avrupa Parlamentosu üyeleri tarafından bazı düşmanca sorgulamalara maruz kalmasına katkıda bulundu. AB yasa yapıcıları da düzenleyicinin yaklaşımı hakkında daha geniş endişelerini dile getirdiler; İrlandalı düzenleyicinin GDPR’yi büyük teknoloji platformlarında uygulama görevini yerine getirip getirmediğini merak ettiler.
Dixon, İrlanda otoritesinin “meşgul GDPR uygulaması” olduğunu iddia ettiği şeye güçlü bir savunmayla karşılık verdi. Özellikle TikTok’ta, incelenen büyük hacimli materyal göz önüne alındığında DPC’nin olabildiğince hızlı çalıştığını iddia etti.