Irländska dataskyddskommissionen meddelar böter på 345 miljoner euro för TikTok

Publicerat: 8 månader sedan

Den 1 september 2023 antog den irländska dataskyddskommissionen (DPC) ett slutgiltiga beslut angående huruvida TikTok Technology Limited (TTL) uppfyllt sina skyldigheter enligt GDPR.

DPC är den irländska tillsynsmyndigheten för den allmänna dataskyddsförordningen (GDPR), vilket motsvarar den svenska Integritetsskyddsmyndigheten. En tillsynsmyndighet ska enligt artikel 57 GDPR bland annat utföra undersökningar, övervaka och verkställa tillämpningen av GDPR. Enligt artikel 58 andra stycket GDPR har tillsynsmyndigheten befogenhet att utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om deras behandling bryter mot bestämmelserna i GDPR.  Tillsynsmyndigheten får enligt samma artikel påföra administrativa sanktionsavgifter (böter) i enlighet med artikel 83 GDPR utöver eller i stället för de åtgärder som avses i andra stycket, beroende på omständigheterna i varje enskilt fall.

DPC initierade en egen utredning i syfte att undersöka i vilken utsträckning TTL under perioden mellan den 31 juli 2020 och den 31 december 2020 uppfyllde sina skyldigheter enligt GDPR.

Utredningen fokuserade på TTLs behandling av personuppgifter som rör barnanvändare av TikTok-plattformen.

Specifikt utreddes behandlingen i samband med;

  • Vissa inställningar på TikTok-plattformen, inklusive offentliga standardinställningar samt de inställningar som är kopplade till funktionen ”Familjeparning”, och
  • Åldersverifiering som en del av registreringsprocessen.

Som en del av undersökningen granskade DPC också vissa av TTL:s transparensskyldigheter, inklusive omfattningen av den information som lämnats till barnanvändare i förhållande till standardinställningar.

Efter den avslutade utredningen lämnade DPC utkast till beslut avseende TTL till alla berörda tillsynsmyndigheter i enlighet med GDPR. DPC kunde dock inte nå enighet med de berörda tillsynsmyndigheterna på grund av olika invändningar mot beslutet. DPC beslutade därmed att hänskjuta invändningarna till Europeiska dataskyddsstyrelsen (EDPB) för avgörande i enlighet med artikel 65 GDPR.

DPC fattade beslut den 1 september 2023 med stöd av EDPB:s vägledande avgörande. I beslutet konstateras att TTLs offentliga standardinställning för barnanvändarkonton innebär ett brott mot GDPR. TTLs inställning som tillät ”familjeparning” och som gjorde det möjligt för icke-barnanvändare att aktivera direktmeddelanden för barnanvändare över 16 år innebär en kräkning av artiklarna 5.1.f och 35.1 GDPR. TTL anses inte heller ha tillhandahållit tillräcklig information om transparens till barnanvändare. Slutligen innebär TTLs implementerade mönster som påverkar användare att välja mer integritetskränkande alternativ under registreringsprocessen och när de publicerade videor en kränkning av artikel 5.1.a GDPR.

Vidare beslutades att TTL ska vidta åtgärder inom tre månader från DPCs beslut och att TTL ska betala en administrativ sanktionsavgift på totalt 345 miljoner euro för att ha brutit mot bestämmelserna i GDPR.

Katarina Ladenfors, Advokat & Partner – Marlaw

Dela sida:

Relaterade nyheter

Bli medlem

Ansök om medlemskap

Villkor
© IAB Sverige AB - All rights reserved