Ирландский регулятор оштрафовал TikTok на 345 миллионов евро за нарушение защиты данных детей

Ирландский комиссар по защите данных (глава DPC) Хелен Диксон приняла решение оштрафовать TikTok на 345 миллионов евро за нарушения в дизайне приложения в 2020 году.  Соответствующее решение опубликовано на официальном портале документов ЕС. В компании заявляют, что исправили все указанные проблемы ещё до того, как власти острова решили провести расследование.

По версии регулятора, компания совершила сразу несколько нарушений в период с с 31 июля 2020 года по 31 декабря 2020 года. Так, во время регистрации профили пользователей от 13 до 17 лет по умолчанию были «открытыми», то есть зайти на них мог любой человек. Властям также не понравилось, что платформа недостаточно тщательно проверяла аккаунты тех, кого указывали в качестве родителя или опекуна в соответствующем «семейном режиме».

Помимо прочего, в материалах расследования DPC указано, что TikTok недостаточно подробно объяснял детям правила своей платформы. По версии комиссара и её коллег из других европейских органов, соцсеть воспользовалась «тёмными паттернами» в дизайне, чтобы побудить пользователей использовать менее приватные функции.

Диксон ссылалась на положения так называемого «Общего регламента по защите данных ЕС» (GDPR) — крупного закона, в котором описаны меры по «приземлению» данных, права на их обработку и передачу третьим лицам, ограничение доступа к информации и так далее. Закон действует на территории всего блока, однако интерпретируется разными странами по-разному.

Согласно материалам дела, за проблемы в дизайне приложения в 2020 году Диксон обвинила TikTok в недостаточной «минимизации сбора данных», низком уровне «безопасности» хранения, нежелании «демонстрировать, что обработка осуществляется в соответствии» с GDPR и нарушении «целей обработки» информации. Также платформа якобы не сделала свою политику достаточно «прозрачной и понятной» и недостаточно подробном списке «получателей» персональных данных детей.

«Характер обоих нарушений <..> касается право субъектов на информацию об общедоступной обработке <..> Если контролеры не передают эту информацию <..>, субъектам данных может быть отказано в понимании того, как обрабатываются их персональные данные. Следовательно, эти нарушения <..> касаются права субъектов данных на информацию. Это краеугольный камень прав субъекта данных. Предоставление информации в [“краткой, прозрачной, понятной форме”] соответствует сути фундаментального права человека на защиту его личных данных», — написала Диксон. 

Согласно решению комиссара, TikTok обязали «предпринять действия» для исправления ситуации. Компания также получила от регулятора выговор. Помимо прочего, соцсеть обязали заплатить 345 миллионов евро штрафа.

В TikTok сообщили, что уже исправили все недочёты, о которых шла речь в расследовании. Представитель компании заявил, что комиссар в принципе начала своё расследование уже после того, как фирма приняла все необходимые решения. Планирует ли компания подавать апелляцию на решение, не уточняется.

«Мы с уважением не согласны с решением, особенно с размером наложенного штрафа. Критика со стороны DPC сосредоточена на функциях и настройках, которые были введены в действие три года назад, и в которые мы внесли изменения задолго до начала расследования, например, сделав все учетные записи детей младше 16 лет конфиденциальными по умолчанию», — говорится в ответе официального представителя TikTok.

Ранее DPC также оштрафовала Meta на 1,3 миллиарда долларов за нарушение положений GDPR в части о «приземлении». По версии регулятора, компания не имела права хранить данные европейцев на серверах в США, так как там к ним имеют доступ американские спецслужбы.