De Nederlandse Autoriteit Persoonsgegevens (AP) en de Franse privacytoezichthouder, de CNIL, waren in 2020 al gestart met een onderzoek naar TikTok wegens het schenden van de privacy van kinderen (zie ook deze Snelrechtbijdrage). TikTok had op dat moment nog geen vestiging in de EU. Toen TikTok zich alsnog in Ierland vestigde, was het aan de Ierse DPC om (verder) op te treden. Met de input van de AP en de CNIL in de achterzak startte de DPC een onderzoek dat zag op de periode van 31 juli 2020 tot 31 december 2020. De DPC stelde diverse overtredingen vast, hetgeen uiteindelijk leidt tot onder meer een boete van 345 miljoen euro.
In de kern gaat het besluit over het verwijt dat TikTok profielen van kinderen, inclusief door hen geplaatste video’s, standaard en automatisch op ‘public’ (openbaar) zette. TikTok-video’s zijn ook wereldwijd via de website van TikTok te bekijken (dus ook voor niet TikTok-gebruikers), terwijl kinderen hierover niet goed werden geïnformeerd. Hierdoor handelde TikTok onder meer in strijd met de op haar rustende transparantieverplichtingen (art. 12 lid 1 en art. 13 lid 1 onder e AVG), haar accountabilityverplichtingen (art. 24 lid 1 AVG), de regels voor privacy by design en privacy by default (art. 25 AVG) en het dataminimalisatiebeginsel (art. 5(1)(c)) AVG). Dit brengt ernstige risico’s mee voor de rechten en vrijheden van kinderen. Dit geldt al helemaal voor kinderen onder de 13 jaar, waarvan in het besluit is vastgesteld dat die in groten getale op TikTok zitten (zie onder meer par. 226 van het besluit). Ook gebruikte TikTok, in strijd met het behoorlijkheidsbeginsel van art. 5 lid 1 onder a AVG, dark patterns om kinderen ertoe aan te zetten om voor de privacy-onvriendelijke instellingen te kiezen. Daarnaast bleek de ‘family pairing’ functionaliteit van TikTok niet waterdicht: het was mogelijk om andere volwassenen dan ouders/verzorgers aan een TikTok-account van een kind boven de 16 te koppelen, die daardoor via direct messages met het kind konden communiceren, met alle risico’s van dien (schending van het integriteits- en vertrouwelijkheidsbeginsel van art. 5 lid 1 onder f AVG en wederom niet voldaan aan eisen van privacy by default van art. 25 AVG). De DPC heeft een handige infographic opgesteld waarin alle zogenoemde ‘findings’ worden weergegeven.
Het boetebesluit kwam, zoals vaak wanneer de DPC optreedt, niet geruisloos tot stand. Na het onderzoek van de DPC werd een concept-besluit gedeeld met de andere betrokken Europese privacytoezichthouders. De Italiaanse toezichthouder en de Berlijnse toezichthouder konden zich niet vinden in het voorgenomen besluit waardoor een art. 65 AVG procedure bij de European Data Protection Board plaatsvond. Dit leidde onder meer tot de toevoeging van de overtreding ten aanzien het gebruik van dark patterns. Naast de boete heeft de DPC TikTok berispt (zie art. 58 lid 2 onder b AVG) en moet TikTok binnen drie maanden de geconstateerde overtredingen beëindigen.
TikTok benadrukt in een reactie dat het inmiddels de meeste zaken al heeft geadresseerd. TikTok is echter niet ‘off the hook’: er loopt nog een tweede onderzoek van de DPC naar de doorgifte van persoonsgegevens naar China en in Nederland wordt halsreikend uitgekeken naar het (tussen)vonnis in de massaschadeclaimprocedure die diverse stichtingen (waaronder de stichting Take Back Your Privacy, ten aanzien waarvan ik hierbij uit transparantieoverwegingen vermeld dat ik daarvan de voorzitter ben) wegens privacyschendingen zijn gestart tegen TikTok. Binnenkort wordt duidelijk of − en zo ja: door welke stichting(en) − deze procedure wordt voortgezet.
