TikTok ei seuraa käyttäjiään ainoastaan silloin, kun he käyttävät itse TikTok-sovellusta, vaan se on yhä useammin integroitu moniin muihin verkkosivustoihin ja sovelluksiin. TikTok pystyi esimerkiksi seuraamaan henkilön Grindrin käyttöä hänen älypuhelimessaan. Tässä ei kuitenkaan ole vielä kaikki: sen lisäksi, että TikTok seuraa käyttäjiä kaikkialla digitaalisessa tilassa, se kieltäytyy myös antamasta kiinnostuneille käyttäjille kopiota kaikista heidän henkilötiedoistaan. Siksi, noyb on siksi tehnyt kaksi valitusta TikTokia ja sen tietojenjakokumppaneita AppsFlyeria ja Grindriä vastaan.
- Valitus TikTokia vastaan puutteellisesta vastauksesta käyttöoikeuspyyntöön
- Valitus TikTokia, AppsFlyeria ja Grindriä vastaan tietojen jakamisesta
Laiton seuranta sovellusten välillä. Ei ole mikään salaisuus, että TikTok on melko tiedonjanoinen. Loppujen lopuksi suositun videoalustan algoritmi näyttää tietävän tarkalleen, mitä sisältöä käyttäjät haluavat nähdä. Ei kuitenkaan ole yleisesti tiedossa, että TikTok seuraa sinua myös muiden sovellusten käytön aikana. Eräs käyttäjä sai tietää tästä laittomasta seurantakäytännöstä käyttöoikeuspyynnön kautta - josta kävi ilmi, että esimerkiksi hänen Grindrin käyttönsä lähetettiin TikTokille todennäköisesti israelilaisen AppsFlyer-seurantayrityksen kautta. Huolimatta siitä, että tarjosi "lataustyökalun"tikTok aluksi salasi käyttäjältä asiaankuuluvat tiedot, mikä rikkoo Yleisen tietosuoja-asetuksen 15 artiklaa. Vasta toistuvien kyselyjen jälkeen TikTok paljasti, että se tietää, mitä sovelluksia käyttäjä käytti ja mitä hän teki näissä sovelluksissa (esimerkiksi lisäsi tuotteen ostoskoriin). Tietoihin sisältyi myös tietoa hänen käyttämästään homotreffisovelluksesta Grindristä. Näin TikTok voi tehdä johtopäätöksiä hänen seksuaalisesta suuntautumisestaan ja seksielämästään. Kyseessä on erityisesti suojattua tietoa Yleisen tietosuoja-asetuksen 9 artiklajoita voidaan käsitellä vain poikkeustapauksissa.
Kleanthi Sardeli, tietosuojalakimies osoitteessa noyb: "Monien yhdysvaltalaisten kollegoidensa tavoin TikTok kerää yhä enemmän tietoja muista sovelluksista ja lähteistä. Näin kiinalainen sovellus saa kokonaiskuvan ihmisten verkkoaktiviteetista. Se, että toisesta sovelluksesta saadut tiedot paljastivat tämän käyttäjän seksuaalisen suuntautumisen ja seksielämän, on vain yksi äärimmäisistä esimerkeistä."
Osallisena laittomassa tietojenkäsittelyssä. TikTok sai nämä tiedot vain israelilaisen AppsFlyer-tietoyhtiön ja Grindrin itsensä avulla. AppsFlyer toimii todennäköisesti eräänlaisena välikätenä, joka vastaanottaa Grindriltä kantelijan arkaluonteiset tiedot ja välittää ne sitten TikTokille. Ongelma: AppsFlyerilla tai Grindrillä ei ole tietosuoja-asetuksen 6 artiklan 1 kohdan mukaista pätevää oikeusperustaa jakaa kantelijan henkilötietoja TikTokin kaltaisten kolmansien osapuolten kanssa. Eikä niillä todellakaan ole mitään pätevää perustetta jakaa hänen arkaluonteisia tietojaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan nojalla. Kantelija ei missään vaiheessa antanut suostumustaan tietojensa jakamiseen.
Riittämätön vastaus käyttöoikeuspyyntöön. Käyttäjille olisi yleensä ilmoitettava henkilötietojen vastaanottajista ja jopa saatava kopio kyseisistä tiedoista. TikTok näyttää kuitenkin rakenteellisesti rikkovan käyttäjien oikeutta saada tällainen kopio. TikTok viittaa käyttäjiinsä "lataustyökaluun", mutta myönsi myöhemmin, että tämä työkalu sisältää vain sen mielestä kaikkein tärkeimmiksi katsomia "merkitykselliseksi" tietoja - eikä suinkaan kaikkia henkilötietoja. Vaikka TikTok oli toistuvasti pyytänyt lisäämään puuttuvat tiedot, se ei antanut tietoja siitä, mitä tietoja käsitellään ja mihin tarkoitukseen. Näin toimimalla TikTok rikkoo selvästi 12 artiklaa ja 15 YLEISTÄ TIETOSUOJA-ASETUSTA, joissa edellytetään, että yritysten on annettava tiedot kokonaisuudessaan ja helposti ymmärrettävässä muodossa.
Lisa Steinfeld, tietosuojavaltuutettu noyb: "TikTok ohjaa käyttäjänsä luonnostaan epätäydelliseen 'lataustyökaluun'. On perusteltua olettaa, että tuhansia käyttäjiä on lähetetty tähän huijaustyökaluun, joka ei rakenteellisesti täytä lakisääteisiä vaatimuksia täydellisen kopion antamisesta omista henkilötiedoista."
Itävallassa jätetyt valitukset. noyb on siksi tehnyt kaksi valitusta Itävallan tietosuojaviranomaiselle (DSB). Ensimmäinen valitus kohdistuu TikTokiin, ja se koskee puutteellista vastausta kantelijan tietoihin tutustumista koskevaan pyyntöön. Toinen kantelu kohdistuu TikTokiin, AppsFlyeriin ja Grindriin, ja se koskee TikTokin ulkopuolisten tietojen määrittelemätöntä käsittelyä, pätevän oikeusperustan puuttumista tietojen jakamiselle ja käsittelylle sekä loukkausta Yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaa. Pyydämme TikTokia toimittamaan kantelijalle puuttuvat tiedot ja kaikkia kolmea yritystä lopettamaan hänen henkilötietojensa laittoman käsittelyn. Viimeisenä mutta ei vähäisimpänä ehdotamme, että viranomainen määrää "tehokas, oikeasuhteinen ja varoittava" sakkoa yleisen tietosuoja-asetuksen 83 artiklan nojalla, jotta vastaavat rikkomukset estetään tulevaisuudessa.
