SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
WEBINARY- tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
WEBINARY- tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
Moje konto

Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Zamów abonament
Decyzje organów nadzorczych UE

Irlandia, dnia 15 września 2023 roku, Komisarz Ochrony Danych Irlandii (DPC) ogłosił swoją decyzję, w której nałożył karę w wysokości 345 milionów euro na TikTok Limited za naruszenie RODO dotyczące przetwarzania danych osobowych dzieci

19/09/2023

Irlandia, dnia 15 września 2023 roku, Komisarz Ochrony Danych Irlandii (DPC) ogłosił swoją decyzję, w której nałożył karę w wysokości 345 milionów euro na TikTok Limited za naruszenie RODO dotyczące przetwarzania danych osobowych dzieci.


Kontekst decyzji

 

Śledztwo DPC w sprawie TikToka rozpoczęło się 14 września 2021 roku po wnioskach zarówno holenderskiego organu ochrony danych (AP), jak i francuskiego organu ochrony danych (CNIL) z 2021 roku o udzielenie wzajemnej pomocy w związku z badaniami rozpoczętymi przez odpowiednie organy nadzorcze. W szczególności DPC wyjaśniło, że śledztwo dotyczące TikToka odnosi się do przetwarzania danych osobowych w okresie od 31 lipca 2020 roku do 31 grudnia 2020 roku.

 

DPC przekazało projekt decyzji wszystkim zainteresowanym organom nadzorczym na podstawie art. 60 ust. 3 GDPR 13 września 2022 roku, proponując naruszenia art. 5 ust. 1 lit. c, art. 5 ust. 1 lit. f, art. 12 ust. 1, art. 13 ust. 1 lit. e, art. 24 ust. 1, art. 25 ust. 1 i art. 25 ust. 2 RODO, jednak zarówno włoski organ ochrony danych (Garante), jak i berliński organ ochrony danych działający w imieniu organu ochrony danych Baden-Württemberg (LfDI Baden-Württemberg) zgłosili sprzeciw wobec projektu decyzji.

 

Wnioski DPC

 

W szczególności DPC stwierdziło, że ustawienia profilu dla dzieci korzystających z TikToka były domyślnie ustawione jako publiczne, co pozwalało każdemu na przeglądanie treści zamieszczanych przez dzieci. Dlatego DPC uznało, że TikTok nie wdrożył odpowiednich środków technicznych i organizacyjnych, aby zapewnić, że domyślnie przetwarzane były jedynie dane osobowe niezbędne do przetwarzania przez TikTok. W związku z tym TikTok naruszył zasadę ochrony danych domyślnie i według projektu, naruszył art. 5 ust. 1 lit. c, art. 25 ust. 1 i art. 25 ust. 2 GDPR.

 

Ponadto DPC stwierdziło, że wprowadzenie domyślnego ustawienia konta dla dzieci, które umożliwiało każdemu przeglądanie treści w mediach społecznościowych zamieszczanych przez dzieci, nie uwzględniało możliwych zagrożeń dla praw i wolności dzieci korzystających z platformy. Stąd TikTok został uznany za to, że nie wdrożył odpowiednich środków technicznych i organizacyjnych, naruszając art. 24 ust. 1 GDPR. Podobnie ustawienie profili dzieci na publiczne zostało uznane za ryzykowne dla dzieci poniżej 13 roku życia. W rezultacie TikTok naruszył także art. 24 ust. 1 RODO.

 

Należy zaznaczyć, że DPC stwierdziło, że TikTok wdrożył ustawienie platformy o nazwie „Family Pairing” dla dzieci, dzięki któremu osoba niebędąca dzieckiem mogła połączyć swoje konto z kontem dziecka, umożliwiając bezpośrednią wymianę wiadomości między użytkownikami niebędącymi dziećmi a dziećmi powyżej 16 roku życia. Przetwarzanie takie według DPC nie zapewniało odpowiedniego zabezpieczenia danych osobowych, a zaniedbanie TikToka w zakresie zasady integralności i poufności uznano za naruszenie art. 5 ust. 1 lit. f oraz art. 25 ust. 1 RODO.

 

DPC stwierdziło również, że TikTok nie dostarczał dzieciom informacji na temat kategorii odbiorców lub kategorii odbiorców danych osobowych, naruszając art. 13 ust. 1 lit. e GDPR. Kiedy TikTok nie dostarczał dzieciom informacji na temat zakresu i konsekwencji przetwarzania domyślnego, w sposób zwięzły, przejrzysty i zrozumiały, DPC uznał to za naruszenie art. 12 ust. 1 RODO.

 

Wreszcie DPC ustaliło, że TikTok wdrożył tzw. „ciemne wzorce”, przekierowując użytkowników ku bardziej inwazyjnym opcjom podczas procesu rejestracji i zamieszczania filmów. W związku z tym TikTok naruszył art. 5 ust. 1 lit. a RODO.

 

Konsekwencje

 

W związku z tym DPC wydało nagrodę za naruszenia RODO, rozpoznając powagę tych naruszeń.

 

Ponadto DPC wydało decyzję korygującą na podstawie art. 58 ust. 2 lit. d RODO, nakazując TikTokowi dostosowanie swojego przetwarzania do przepisów GDPR w ciągu trzech miesięcy od powiadomienia o decyzji.

 

Wreszcie DPC nałożyło karę administracyjną w wysokości 345 milionów euro.

 

 

Więcej: https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf

 

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

 

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 

Zobacz również
Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Decyzje organów nadzorczych UE
Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO

Irlandzka Komisja Ochrony Danych (DPC) ogłosiła swoją ostateczną decyzję po dokładnym śledztwie dotyczącym Meta Platforms Ireland Limited (MPIL). Dochodzenie, rozpoczęte w kwietniu 2019 roku, zostało zainicjowane po tym, jak MPIL powiadomiło DPC o tym, że nieumyślnie pr(...)

Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Decyzje organów nadzorczych UE
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI

Holenderski Urząd Ochrony Danych Osobowych (DPA) nałożył kary finansowe na Ubera i Clearview AI za naruszenia przepisów RODO. Uber został ukarany kwotą 290 milionów euro za nielegalne przekazywanie danych osobowych kierowców z Unii Europejskiej do Stanów Zjednoczonych.(...)

Szwedzki Urząd Ochrony Prywatności (IMY) wymagania dotyczące akredytacji jednostek certyfikujących
Decyzje organów nadzorczych UE
Szwedzki Urząd Ochrony Prywatności (IMY) wymagania dotyczące akredytacji jednostek certyfikujących

Wymagania te będą stosowane przez Szwedzką Agencję Akredytacyjną i Nadzoru Technicznego (Swedac) przy akredytacji jednostek certyfikujących, które będą upoważnione do wydawania certyfikatów zgodnych z ogólnym rozporządzeniem o ochronie danych (RODO)

do góry

Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

© 2014 Copyright Odoserwis.pl

evostudio.pl adic.pl