A TikTok nemcsak akkor követi a felhasználóit, amikor azok magát a TikTok alkalmazást használják, hanem egyre inkább integrálódik számos más weboldalba és alkalmazásba is. A TikTok például képes volt nyomon követni egy személy Grindr-használatát az okostelefonján. Ez azonban nem minden: amellett, hogy a TikTok a digitális térben követi a felhasználókat, az érdeklődő felhasználóknak nem hajlandó másolatot adni az összes személyes adatukról. Ezért, noyb ezért két panaszt nyújtott be a TikTok és adatmegosztó partnerei, az AppsFlyer és a Grindr ellen.
- Panasz a TikTok ellen a hozzáférési kérelemre adott hiányos válasz miatt
- Panasz a TikTok, az AppsFlyer és a Grindr ellen adatmegosztás miatt
Jogellenes nyomon követés az alkalmazásokon keresztül. Nem titok, hogy a TikTok meglehetősen adatéhes. Végül is úgy tűnik, a népszerű videoplatform algoritmusa pontosan tudja, hogy a felhasználók milyen tartalmakat szeretnének látni. Az azonban kevéssé ismert, hogy a TikTok más alkalmazások használata közben is nyomon követi Önt. Egy felhasználó egy hozzáférési kérelem révén szerzett tudomást erről a jogellenes követési gyakorlatról - amelyből kiderült, hogy például a Grindr-használatát elküldték a TikTok-nak, valószínűleg az izraeli AppsFlyer nyomkövető cégen keresztül. Annak ellenére, hogy a "letöltési eszközt"a TikTok kezdetben visszatartotta a vonatkozó adatokat a felhasználótól, ami sérti a GDPR 15. cikk. Csak többszöri megkeresés után fedte fel a TikTok, hogy tudja, mely alkalmazásokat használta, és mit csinált ezeken az alkalmazásokon belül (például terméket tett a kosárba). Az adatok között szerepeltek a Grindr nevű meleg társkereső alkalmazás használatára vonatkozó információk is. Ez lehetővé teszi a TikTok számára, hogy következtetéseket vonjon le a szexuális irányultságára és szexuális életére vonatkozóan. Ezek a különösen védett adatok a GDPR 9. cikk, amelyeket csak kivételes esetekben lehet feldolgozni.
Kleanthi Sardeli, a TikTokTik adatvédelmi ügyvédje noyb: "Számos amerikai társához hasonlóan a TikTok is egyre több adatot gyűjt más alkalmazásokból és forrásokból. Ez lehetővé teszi a kínai alkalmazás számára, hogy teljes képet kapjon az emberek online tevékenységéről. Az, hogy egy másik alkalmazásból származó adatokból kiderült ennek a felhasználónak a szexuális irányultsága és szexuális élete, csak egy a szélsőségesebb példák közül."
Bűnrészesek a jogellenes adatfeldolgozásban. A TikTok csak az izraeli AppsFlyer adatszolgáltató cég és maga a Grindr segítségével juthatott hozzá ezekhez az információkhoz. Az AppsFlyer valószínűleg egyfajta közvetítőként működik, amely a Grindr-től megkapja a panaszosra vonatkozó érzékeny adatokat, majd továbbítja azokat a TikTok-nak. A probléma: sem az AppsFlyer, sem a Grindr nem rendelkezik a GDPR 6. cikkének (1) bekezdése szerinti érvényes jogalapokkal ahhoz, hogy a panaszos személyes adatait harmadik féllel, például a TikTokkal megossza. És egészen biztosan nincs érvényes indokuk arra sem, hogy a GDPR 9. cikkének (1) bekezdése alapján megosszák az érzékeny adatait. A panaszos semmilyen időpontban nem járult hozzá adatai megosztásához.
A hozzáférési kérelemre adott válasz elégtelen. A felhasználókat általában tájékoztatni kell a személyes adatok címzettjeiről, és még az említett adatok másolatát is meg kell kapniuk. Úgy tűnik azonban, hogy a TikTok strukturálisan megsérti a felhasználóknak az ilyen másolathoz való jogát. A TikTok a felhasználóit egy "letöltési eszközre", de később elismerte, hogy ez az eszköz csak azt tartalmazza, amit a legmegfelelőbbnek tart "releváns" adatokat - és messze nem az összes személyes adatot. A TikTok többszöri megkeresés után sem adott tájékoztatást arról, hogy mely adatokat és milyen célból dolgozzák fel. Ezzel a TikTok egyértelműen megsérti a 12. cikk és a weboldalt 15 GDPR, amelyek megkövetelik a vállalatoktól, hogy az információkat teljes körűen és könnyen érthető formában adják meg.
Lisa Steinfeld, adatvédelmi jogász, a noyb: "A TikTok egy eleve hiányos "letöltési eszközhöz" irányítja felhasználóit. Joggal feltételezhető, hogy felhasználók ezreit küldték el ehhez a csaló eszközhöz, amely szerkezetileg nem felel meg a saját személyes adatok teljes másolatának biztosítására vonatkozó jogi követelményeknek."
Ausztriában benyújtott panaszok. noyb ezért két panaszt nyújtott be az osztrák adatvédelmi hatósághoz (DSB). Az első panasz a TikTok ellen irányul, és a panaszos hozzáférési kérelmére adott hiányos válasz körül forog. A második panasz a TikTok, az AppsFlyer és a Grindr ellen irányul, és a TikTokon kívüli adatok meghatározatlan mértékű feldolgozásával, az adatok megosztásának és feldolgozásának érvényes jogalapjának hiányával, valamint az ún A GDPR 9. cikkének (1) bekezdése. Felszólítjuk a TikTok-ot, hogy adja meg a panaszosnak a hiányzó információkat, és mindhárom vállalatot, hogy állítsa le a személyes adatainak jogellenes feldolgozását. Végül, de nem utolsósorban javasoljuk, hogy a hatóság szabjon ki "hatékony, arányos és visszatartó erejű" bírságot szabjon ki a GDPR 83. cikke alapján, hogy a jövőben megelőzze a hasonló jogsértéseket.
