TikTok nie tylko śledzi swoich użytkowników podczas korzystania z samej aplikacji TikTok, ale jest coraz bardziej zintegrowany z wieloma innymi stronami internetowymi i aplikacjami. Na przykład TikTok był w stanie śledzić korzystanie z Grindr na smartfonie danej osoby. To jednak nie wszystko: oprócz śledzenia użytkowników w przestrzeni cyfrowej, TikTok odmawia również dostarczenia zainteresowanym użytkownikom kopii wszystkich ich danych osobowych. W związku z tym, noyb złożył dwie skargi przeciwko TikTok i jego partnerom udostępniającym dane AppsFlyer i Grindr.
- Skarga na TikTok za niekompletną odpowiedź na wniosek o dostęp do danych
- Skarga przeciwko TikTok, AppsFlyer i Grindr za udostępnianie danych
Bezprawne śledzenie w aplikacjach. Nie jest tajemnicą, że TikTok jest raczej głodny danych. W końcu algorytm popularnej platformy wideo wydaje się dokładnie wiedzieć, jakie treści chcą oglądać użytkownicy. Nie jest jednak powszechnie wiadomo, że TikTok śledzi również użytkowników korzystających z innych aplikacji. Jeden z użytkowników dowiedział się o tej nielegalnej praktyce śledzenia poprzez żądanie dostępu - które wykazało, że np. jego korzystanie z Grindr zostało przesłane do TikTok, prawdopodobnie za pośrednictwem izraelskiej firmy śledzącej AppsFlyer. Pomimo udostępnienia "narzędzie do pobierania"tikTok początkowo ukrywał przed użytkownikiem istotne dane, co narusza Artykuł 15 RODO. Dopiero po wielokrotnych zapytaniach TikTok ujawnił, że wie, z jakich aplikacji korzystał i co w nich robił (na przykład dodawał produkt do koszyka). Dane zawierały również informacje o korzystaniu przez niego z gejowskiej aplikacji randkowej Grindr. Pozwala to TikTok wyciągać wnioski na temat jego orientacji seksualnej i życia seksualnego. Są to dane szczególnie chronione na mocy Art. 9 RODOktóre mogą być przetwarzane tylko w wyjątkowych przypadkach.
Kleanthi Sardeli, prawnik zajmujący się ochroną danych w noyb: "Podobnie jak wiele jego amerykańskich odpowiedników, TikTok coraz częściej gromadzi dane z innych aplikacji i źródeł. Pozwala to chińskiej aplikacji uzyskać pełny obraz aktywności online ludzi. Fakt, że dane z innej aplikacji ujawniły orientację seksualną i życie seksualne tego użytkownika, jest tylko jednym z bardziej ekstremalnych przykładów"
Współudział w bezprawnym przetwarzaniu danych. TikTok był w stanie uzyskać te informacje tylko z pomocą izraelskiej firmy AppsFlyer i samego Grindr. AppsFlyer najprawdopodobniej funkcjonuje jako rodzaj pośrednika, który otrzymuje wrażliwe dane o skarżącym od Grindr, a następnie przekazuje je do TikTok. Problem: ani AppsFlyer, ani Grindr nie mają ważnej podstawy prawnej na mocy art. 6 ust. 1 RODO do udostępniania danych osobowych skarżącego stronom trzecim, takim jak TikTok. I z pewnością nie mają żadnego ważnego powodu, aby udostępniać jego wrażliwe dane zgodnie z art. 9 ust. 1 RODO. W żadnym momencie skarżący nie wyraził zgody na udostępnianie swoich danych.
Niewystarczająca odpowiedź na wniosek o dostęp. Użytkownicy powinni być generalnie informowani o odbiorcach danych osobowych, a nawet otrzymywać kopię tych danych. Wydaje się jednak, że TikTok strukturalnie narusza prawo użytkowników do uzyskania takiej kopii. TikTok odsyła swoich użytkowników do "narzędzia do pobierania"ale później przyznał, że narzędzie to zawiera tylko to, co uważa za najbardziej "istotne" dane - i zdecydowanie nie wszystkie dane osobowe. Nawet po wielokrotnych prośbach o dodanie brakujących informacji, TikTok nie dostarczył informacji o tym, które dane są przetwarzane i w jakim celu. W ten sposób TikTok wyraźnie narusza Artykuły 12 i 15 RODOktóre wymagają od firm dostarczania pełnych informacji w łatwo zrozumiałym formacie.
Lisa Steinfeld, prawnik ds. ochrony danych w noyb: "TikTok kieruje swoich użytkowników do z natury niekompletnego 'narzędzia do pobierania'. Można założyć, że tysiące użytkowników zostało wysłanych do tego oszukańczego narzędzia, które strukturalnie nie spełnia wymogów prawnych dotyczących zapewnienia pełnej kopii własnych danych osobowych"
Skargi złożone w Austrii. noyb złożył zatem dwie skargi do austriackiego organu ochrony danych (DSB). Pierwsza skarga jest skierowana przeciwko TikTok i dotyczy niekompletnej odpowiedzi na wniosek skarżącego o dostęp. Druga skarga jest skierowana przeciwko TikTok, AppsFlyer i Grindr i dotyczy nieokreślonego przetwarzania danych spoza TikTok, braku ważnej podstawy prawnej do udostępniania i przetwarzania danych oraz naruszenia art. 9 ust. 1 RODO Artykułu 9(1) RODO. Zwracamy się do TikTok o dostarczenie skarżącemu brakujących informacji, a do wszystkich trzech firm o zaprzestanie niezgodnego z prawem przetwarzania jego danych osobowych. Na koniec sugerujemy, aby organ nałożył "skuteczną, proporcjonalną i odstraszającą" zgodnie z art. 83 RODO, aby zapobiec podobnym naruszeniom w przyszłości.
