TikTok sleduje své uživatele nejen při používání samotné aplikace TikTok, ale je stále více integrován do mnoha dalších webových stránek a aplikací. TikTok například dokázal sledovat, jak člověk používá Grindr na svém chytrém telefonu. To však není vše: Kromě sledování uživatelů v celém digitálním prostoru TikTok také odmítá poskytnout zájemci kopii všech jeho osobních údajů. Z tohoto důvodu, noyb proto podal dvě stížnosti na společnost TikTok a její partnery pro sdílení dat AppsFlyer a Grindr.
- Stížnost na TikTok za neúplnou odpověď na žádost o přístup
- Stížnost na TikTok, AppsFlyer a Grindr kvůli sdílení údajů
Nezákonné sledování napříč aplikacemi. Není žádným tajemstvím, že TikTok je poměrně hladový po datech. Koneckonců algoritmus této populární videoplatformy zřejmě přesně ví, jaký obsah chtějí uživatelé vidět. Není však příliš známo, že TikTok vás sleduje i při používání jiných aplikací. Jeden uživatel se o této nezákonné sledovací praxi dozvěděl díky žádosti o přístup - ta ukázala, že např. jeho používání Grindru bylo odesláno TikToku, pravděpodobně prostřednictvím izraelské sledovací společnosti AppsFlyer. Přestože poskytl "nástroj pro stahování", TikTok zpočátku uživateli příslušné údaje zatajil, čímž porušil Článek 15 GDPR. Teprve po opakovaných dotazech společnost TikTok prozradila, že ví, které aplikace používal a co v rámci těchto aplikací dělal (například přidání produktu do nákupního košíku). Údaje obsahovaly také informace o tom, že používal gay seznamovací aplikaci Grindr. Díky tomu může TikTok vyvozovat závěry o jeho sexuální orientaci a sexuálním životě. Jedná se o zvlášť chráněné údaje podle Článku 9 GDPR, které lze zpracovávat pouze ve výjimečných případech.
Kleanthi Sardeli, právnička pro ochranu osobních údajů ve společnosti noyb: "Stejně jako řada jeho amerických kolegů, i TikTok stále častěji shromažďuje údaje z jiných aplikací a zdrojů. To čínské aplikaci umožňuje získat úplný obraz o online aktivitách lidí. Skutečnost, že údaje z jiné aplikace odhalily sexuální orientaci a sexuální život tohoto uživatele, je jen jedním z extrémnějších příkladů."
Spolupachatelé při nezákonném zpracování údajů. TikTok mohl tyto informace získat pouze s pomocí izraelské datové společnosti AppsFlyer a samotného Grindru. AppsFlyer s největší pravděpodobností funguje jako jakýsi prostředník, který citlivé údaje o stěžovateli získává od Grindru a poté je předává TikToku. Problém: ani společnost AppsFlyer, ani Grindr nemají platný právní základ podle čl. 6 odst. 1 GDPR pro sdílení osobních údajů stěžovatele s třetími stranami, jako je TikTok. A rozhodně nemají žádný platný důvod ke sdílení jeho citlivých údajů podle čl. 9 odst. 1 GDPR. Stěžovatel v žádném okamžiku nedal souhlas ke sdílení svých údajů.
Nedostatečná odpověď na žádost o přístup. Uživatelé by obecně měli být informováni o příjemcích osobních údajů a dokonce by měli dostat kopii uvedených údajů. Společnost TikTok však zřejmě strukturálně porušuje právo uživatelů na získání takové kopie. TikTok odkazuje své uživatele na "nástroj pro stahování", ale později přiznal, že tento nástroj uchovává pouze to, co považuje za nejvíce "relevantní" údaje - a zdaleka ne všechny osobní údaje. Ani po opakovaných dotazech na doplnění chybějících informací TikTok neposkytl informace o tom, které údaje jsou zpracovávány a za jakým účelem. Tímto postupem společnost TikTok zjevně porušuje tzv Článek 12 a 15 GDPR, které vyžadují, aby společnosti poskytovaly informace v plném rozsahu a ve snadno srozumitelném formátu.
Lisa Steinfeldová, právnička zabývající se ochranou osobních údajů ve společnosti noyb: "TikTok směruje své uživatele na ze své podstaty neúplný "nástroj pro stahování". Lze předpokládat, že tisíce uživatelů byly odeslány na tento podvodný nástroj, který strukturálně nesplňuje zákonné požadavky na poskytnutí úplné kopie vlastních osobních údajů."
Stížnosti podané v Rakousku. noyb proto podal dvě stížnosti u rakouského úřadu pro ochranu osobních údajů (DSB). První stížnost směřuje proti společnosti TikTok a točí se kolem neúplné odpovědi na žádost stěžovatele o přístup. Druhá stížnost směřuje proti společnostem TikTok, AppsFlyer a Grindr a týká se neurčitého zpracování údajů mimo TikTok, neexistence platného právního základu pro sdílení a zpracování údajů a porušení práva na ochranu osobních údajů Čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů. Žádáme společnost TikTok, aby stěžovateli poskytla chybějící informace, a všechny tři společnosti, aby zastavily nezákonné zpracování jeho osobních údajů. V neposlední řadě navrhujeme, aby úřad uložil "účinný, přiměřený a odrazující" pokutu podle článku 83 obecného nařízení o ochraně osobních údajů, aby se v budoucnu zabránilo podobným porušením.
