Az ír adatvédelmi hatóság TikTok határozata

Az eljárást megelőzően több tagállam adatvédelmi hatósága (a holland és a francia hatóságok) megkeresést intéztek az ír székhelyű vállalathoz, hogy nyújtson kölcsönös segítséget azáltal, hogy vizsgálatot indít az általános adatvédelmi rendeletnek a gyermekek személyes adatainak TTL általi kezelésével kapcsolatos állítólagos megsértésének értékelésére, mire az ír hatóság gyermekfelhasználók személyes adatainak TTL általi feldolgozásának vizsgálatára 2021 szeptemberében eljárást indított a TikTok platformmal összefüggésben.

Az eljárás során az ír hatóság két fő adatkezelési típust vizsgált:

• az első vizsgálandó adatkezelési típus a Gyermekfelhasználók személyes adatainak a TikTok platform mobilalkalmazás- és weboldal-alapú platformbeállításaival összefüggésben történő kezelésére vonatkozik, különös tekintettel az ilyen platformbeállítások nyilvános alapértelmezett kezelésére a Gyermekfelhasználók fiókjaival, videóival, megjegyzéseivel, a „Duett” és a „Stitch„, a letöltés és a „Családi párosítás” szolgáltatásokkal kapcsolatban.
• A második típus a 13 év alatti gyermekek személyes adatainak TTL általi feldolgozására vonatkozik a TikTok platform keretében, mobilalkalmazás- és weboldal-alapúan, különösen életkor-ellenőrzés céljából.

Végül, a 18 év alatti személyek személyes adatainak a TikTok platformmal összefüggésben történő kezelése tekintetében (beleértve a TikTok platformhoz hozzáférést biztosító weboldalakkal vagy alkalmazásokkal kapcsolatos ilyen adatkezelést is) ez a vizsgálat azt is megvizsgálta, hogy a TTL eleget tett-e azon kötelezettségének, hogy az érintetteknek a 12. cikk (1) bekezdésében előírt formában és módon tájékoztatást nyújtson,  GDPR 13. cikk (1) bekezdés e) pont, 13. cikk (2) bekezdés a) pont, 13. cikk (2) bekezdés b) pont és 13. cikk (2) bekezdés f) pont- amelyek a hatóság szerint az érintett jogainak sarokköve (47. pont) – ezzel kapcsolatban a hatóság arra jutott, hogy a TTL gondatlanul sértette meg a tájékoztatási kötelezettséget.

Az ír hatóság az eljárás végéhez érve 2023. nyarán véglegesítette a határozattervezetét, figyelembe véve az eljárás során keletkezett iratokat, a TTL által 2022. augusztus 22-én benyújtott kiegészítő válaszokat és Marwick professzor-jelentését -amit az ír hatóság nem fogadott el. Az ennek eredményeként született határozattervezetet az általános  adatvédelmi rendelet 60. cikkének (3) bekezdésével összhangban 2022. szeptember 13-án véleményezésre megküldte az érintett felügyeleti hatóságoknak, tekintettel arra, hogy az általa vizsgált, határokon átnyúló adatkezelés a személyes adatok egész Európában történő feldolgozásával járt, ezáltal az összes többi EU/EGT adatvédelmi felügyeleti hatóság részt vett az eljárásban a GDPR 60. cikkében vázolt együttműködési folyamat céljából. Az illetékes felügyeleti hatóságok az ír határozattervezetre válaszul kifejtették véleményüket. A magyar adatvédelmi hatóság is eljárást indított és az eljárásban észrevételt tett 2022.október 10-én az ír hatóság felé.

Az ír hatóság egy 2022. december 23-i összetett válaszfeljegyzésben ismertette válaszait azokkal a kompromisszumos álláspontokkal együtt, amelyeket az érintett felügyeleti hatóságok által a különböző kifogásokban és észrevételekben kifejtett álláspontok érvényre juttatása érdekében javasolt, mégsem sikerült konszenzusra jutni az érintett tagállami hatóságokkal  az általuk (német és olasz hatóságok által) benyújtott kifogások tárgyában, így az ír adatvédelmi hatóság, ezt követően mint fő felügyeleti hatóság vitarendezési eljárást indított egyes érintett felügyeleti hatóságok kifogásaival kapcsolatban és  a tagállami kifogásokat  az Európai Adatvédelmi Testület elé utalta a 65. cikk (1) bekezdésének a) pontja szerinti vitarendezési mechanizmus szerinti meghatározás céljából.

A kifogások értékelését követően az Európai Adatvédelmi Testület 2023. augusztus 2-án elfogadta a 65. cikk szerinti 2/2023. számú kötelező erejű vitarendezési határozatát, majd 2023. augusztus 4-én értesítette arról az Bizottságot és az összes többi felügyeleti hatóságot. A korábban benyújtott tagállami kifogások képezték egyébként az Európai Adatvédelmi Testület fent ismertetett határozatának alapját.

Az ír hatóság ezt a döntést követően, 2023. szeptember 1-én hozta meg mintegy 126 oldalas határozatát (https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf  ). Az ír hatóság megállapította, hogy a TTL megsértette az általános adatvédelmi rendelet szerinti méltányosság elvét a 13 és 17 év közötti gyermekek személyes adatainak kezelése során és a nyilvános beállítások ellentétesek voltak a beépített és alapértelmezett adatvédelem, az adatminimalizálás és az átláthatóság elvével.  Az ír adatvédelmi hatóság végleges határozata többek között magában foglalja az Európai Adatvédelmi Testület által a kötelező erejű határozatban kifejtett jogi értékelést is. Ez, a 65. cikk szerinti határozat kötelező valamennyi tagállami hatóságra nézve.

Az ír adatvédelmi hatóság határozata által az ügyben eljárva hozott, tervezett intézkedések:

• a GDPR 58.cikk ( 2) bek-ben foglalt korrekciós hatáskörében eljárva kötelezte a TTL-t, hogy a TTL hozza összhangba az adatkezelését a GDPR rendelkezéseivel 3 hónapon belül ( megfelelési végzés);
• megrovásban részesítette a jogsértések miatt ( 58. cikk (2) b.)
• összesen 345 millió EUR összegű bírságot szabott ki az alábbi bontásban:
• GDPR 5. cikk (1) c és 25 cikk (1) és (2) bek megértése miatt 1 millió EUR bírságot;
• Az 5. cikk (1) bekezdése f) pontjának és a 25. cikk (1) bekezdésének TTL általi megsértése tekintetében 65 millió eurós bírságot;
• a TTL által a 12. cikk (1) bekezdésének és a 13. cikk (1) bekezdése e) pontjának megsértése miatt (5. megállapítás) 180 millió EUR összegű bírságot.

További érdekesség, hogy a hatóság nem vette figyelembe Hollandia és Franciaország felügyeleti hatóságai által kifejtett álláspontokat, amelyek a bírság mértékére vonatkoztak. Az ír hatóság a bírság összegének meghatározásakor értékelte a gyermekekkel kapcsolatos kockázatok súlyosságát, a nagyszámú jogsértést (bár a határozatban következetesen  kitakarták a  pontos 18 év alattiak általi TikTok felhasználószámot) és  felhazsnálói beállításokkal kapcsolatban elkövetett jogsértést szándékosnak minősítette a TTL oldaláról, továbbá figyelembe vett szempont a bírság visszatartó ereje volt.  Ugyan a bírság összege óriásinak tűnhet, a bírság kiszabása során a TTL-t magában foglaló ByteDance Ltd. által vezetett vállalatcsoport 2022. december 31-ével záruló pénzügyi évre vonatkozó teljes világméretű éves forgalmára vonatkozóan közölt adatokat és az ír hatóság megállapítása szerint a kiszabott bírság összege nem érte el a teljes világpiaci forgalom 4%-át etekintetben.