TikTok volgt zijn gebruikers niet alleen terwijl ze de TikTok-app zelf gebruiken, maar het is steeds meer geïntegreerd met veel andere websites en apps. TikTok was bijvoorbeeld in staat om het Grindr-gebruik van een persoon op zijn smartphone te volgen. Maar dat is nog niet alles: naast het volgen van gebruikers in de digitale ruimte, weigert TikTok ook om een geïnteresseerde gebruiker een kopie van al zijn persoonlijke gegevens te geven. Daarom, noyb daarom twee klachten ingediend tegen TikTok en zijn partners voor het delen van gegevens AppsFlyer en Grindr.
- Klacht tegen TikTok voor onvolledig antwoord op toegangsverzoek
- Klacht tegen TikTok, AppsFlyer en Grindr voor het delen van gegevens
Onwettige tracking tussen apps. Het is geen geheim dat TikTok nogal hongerig is naar gegevens. Het algoritme van het populaire videoplatform lijkt immers precies te weten welke content gebruikers willen zien. Het is echter niet bekend dat TikTok je ook volgt terwijl je andere apps gebruikt. Een gebruiker kwam achter deze onwettige trackingpraktijk door een verzoek om toegang - waaruit bleek dat bijvoorbeeld zijn gebruik van Grindr naar TikTok werd gestuurd, waarschijnlijk via het Israëlische trackingbedrijf AppsFlyer. Ondanks het aanbieden van een "downloadtool"bood, hield TikTok aanvankelijk relevante gegevens achter voor de gebruiker, wat in strijd is met Artikel 15 GDPR. Pas na herhaaldelijk navragen onthulde TikTok dat het weet welke apps hij gebruikte en wat hij binnen deze apps deed (bijvoorbeeld een product toevoegen aan het winkelwagentje). De gegevens bevatten ook informatie over zijn gebruik van de homo dating app Grindr. Hierdoor kan TikTok conclusies trekken over zijn seksuele geaardheid en seksleven. Dit zijn speciaal beschermde gegevens onder Artikel 9 GDPR, die alleen in uitzonderlijke gevallen mogen worden verwerkt.
Kleanthi Sardeli, advocaat gegevensbescherming bij noyb: "Net als veel van zijn Amerikaanse tegenhangers verzamelt TikTok steeds meer gegevens van andere apps en bronnen. Hierdoor kan de Chinese app een volledig beeld krijgen van de online activiteiten van mensen. Het feit dat gegevens van een andere app de seksuele geaardheid en het seksleven van deze gebruiker onthulden, is slechts een van de extremere voorbeelden."
Medeplichtig aan onrechtmatige gegevensverwerking. TikTok kon deze informatie alleen krijgen met de hulp van het Israëlische databedrijf AppsFlyer en Grindr zelf. AppsFlyer fungeert hoogstwaarschijnlijk als een soort tussenpersoon, die de gevoelige gegevens over de klager van Grindr ontvangt en vervolgens doorgeeft aan TikTok. Het probleem: noch AppsFlyer noch Grindr hebben een geldige rechtsgrondslag onder artikel 6, lid 1 GDPR om de persoonsgegevens van de klager te delen met derden zoals TikTok. En ze hebben zeker geen geldige reden om zijn gevoelige gegevens te delen onder artikel 9(1) GDPR. Op geen enkel moment heeft de klager toestemming gegeven voor het delen van zijn gegevens.
Onvoldoende antwoord op toegangsverzoek. Gebruikers moeten over het algemeen worden geïnformeerd over de ontvangers van persoonlijke gegevens en zelfs een kopie van deze gegevens krijgen. TikTok lijkt echter structureel inbreuk te maken op het recht van gebruikers om een dergelijke kopie te krijgen. TikTok verwijst haar gebruikers naar een "downloadtool"maar geeft later toe dat deze tool alleen de meest "relevante" gegevens bevat - en lang niet alle persoonlijke gegevens. Zelfs na herhaaldelijk verzoek om de ontbrekende informatie toe te voegen, gaf TikTok geen informatie over welke gegevens worden verwerkt en voor welk doel. Daarmee schendt TikTok duidelijk Artikelen 12 en 15 GDPRdie vereisen dat bedrijven de informatie volledig en in een gemakkelijk te begrijpen formaat verstrekken.
Lisa Steinfeld, advocaat gegevensbescherming bij noyb: "TikTok leidt zijn gebruikers naar een inherent onvolledige 'downloadtool'. Het is aannemelijk dat duizenden gebruikers naar deze scam-tool zijn gestuurd, die structureel niet voldoet aan de wettelijke vereisten om een volledige kopie van de eigen persoonlijke gegevens te verstrekken."
Klachten ingediend in Oostenrijk. noyb heeft daarom twee klachten ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit (DSB). De eerste klacht is tegen TikTok en draait om het onvolledige antwoord op het toegangsverzoek van de klager. De tweede klacht is tegen TikTok, AppsFlyer en Grindr en gaat over de ongedefinieerde verwerking van off-TikTok gegevens, het ontbreken van een geldige rechtsgrondslag voor het delen en verwerken van gegevens en de schending van Artikel 9, lid 1 GDPR. We verzoeken TikTok om de klager de ontbrekende informatie te verstrekken en alle drie de bedrijven om de onrechtmatige verwerking van zijn persoonsgegevens te stoppen. Tot slot stellen we voor dat de autoriteit een "doeltreffende, evenredige en afschrikkende" boete op te leggen volgens artikel 83 GDPR om soortgelijke overtredingen in de toekomst te voorkomen.
