TikTok оштрафован на 750 000€ за нарушение GDPR

Управление Нидерландов по защите данных (DPA) наложило штраф на TikTok за нарушение GDPR при обработке персональных данных детей.

Решение было вынесено ещё 9 апреля 2021 года, но вступило в силу только 22 июля 2021 года. Производство по делу длилось более года.

Когда пользователь создает учетную запись TikTok, то он соглашается с политикой конфиденциальности TikTok. Однако расследование DPA показало, что с 25 мая 2018 по 28 июля 2020 года TikTok предоставляла свою политику конфиденциальности пользователям из Нидерландов, включая детей, только на английском языке.

С 29 июля 2020 года TikTok предоставляет уже политику конфиденциальности субъектам персональных данных из Нидерландов на нидерландском языке, даже предоставляет отдельный документ, который подходит для детей, говорящих на нидерландском языке, с точки зрения языка и формы.

Основная аудитория TikTok - это лица до 18 лет, а значит правообладатель сервиса должен донести чётко и просто условия обработки их данных, причём на языке, понятном аудитории.

У TikTok не было политики обработки персональных данных на нидерландском языке с 2018 по 2020 год, что является нарушением.

Статья 12 (1) GDPR определяет, что информация об обработке данных должна быть предоставлена субъекту в краткой, прозрачной, понятной и легко доступной форме, с использованием ясного и простого языка, — особенно, когда информация адресована ребенку.

Согласно руководству по применению GDPR в части прозрачности предоставления сведения - TikTok должен знать свою целевую аудиторию, чтобы определять, что будет считаться понятным и как доносить информацию до своего пользователя. Соответственно, правообладатель должен знать, что значительную часть его целевой аудитории составляют дети до 18 лет.

Управление Нидерландов по защите данных (DPA) в своём решении подчеркнуло, что требование понятности требует, как минимум, чтобы при обращении к субъектам данных, говорящим на другом языке, контролер предоставлял перевод на этот язык. Это обязательство применяется, в частности, когда информация адресована маленьким детям, чтобы они могли легко понять эту информацию. При этом, не имеет значения, что относительно большая группа детей в Европе может хорошо владеть английским языком - нельзя считать само собой разумеющимся, что каждый пользователь владеет английским языком.

Нидерландские административные правила о штрафах 2019 (Beleidsregels bestuurlijke boetes 2019) квалифицируют нарушение статьи 12 (1) GDPR по категории III, для которой диапазон штрафных санкций составляет от 300 000 до 750 000 евро.

DPA назначило максимальный штраф, обосновав это серьезностью и долгой продолжительностью нарушения. Исследование показало, что примерно 830 000 детей из Нидерландов в возрасте до 18 лет использовали TikTok во время нарушения, а дети - это уязвимая группа лиц, которая меньше всего осведомлена о рисках обработки персональных данных и своих правах.

TikTok уже обжаловал это решение DPA.

Официальный пресс-релиз на сайте Управление Нидерландов по защите данных (DPA).