TikTok spårar inte bara sina användare när de använder själva TikTok-appen, utan den integreras alltmer med många andra webbplatser och appar. Till exempel kunde TikTok spåra en persons Grindr-användning på sin smartphone. Men det är inte allt: Förutom att spåra användare över hela det digitala utrymmet vägrar TikTok också att förse intresserade användare med en kopia av alla deras personuppgifter. Därför, noyb har därför lämnat in två klagomål mot TikTok och dess datadelningspartners AppsFlyer och Grindr.
- Klagomål mot TikTok för ofullständigt svar på begäran om tillgång
- Klagomål mot TikTok, AppsFlyer och Grindr för datadelning
Olaglig spårning över appar. Det är ingen hemlighet att TikTok är ganska datahungrig. Den populära videoplattformens algoritm verkar trots allt veta exakt vilket innehåll användarna vill se. Det är dock inte välkänt att TikTok också spårar dig när du använder andra appar. En användare fick reda på denna olagliga spårningspraxis genom en åtkomstbegäran - som visade att t.ex. hans användning av Grindr skickades till TikTok, troligen via det israeliska spårningsföretaget AppsFlyer. Trots att man tillhandahöll ett "nedladdningsverktyg"undanhöll TikTok inledningsvis relevanta uppgifter från användaren, vilket strider mot Artikel 15 GDPR. Först efter upprepade förfrågningar avslöjade TikTok att man visste vilka appar han använde och vad han gjorde i dessa appar (t.ex. lade till en produkt i varukorgen). Uppgifterna innehöll även information om hans användning av dejtingappen Grindr för homosexuella. Detta gör det möjligt för TikTok att dra slutsatser om hans sexuella läggning och sexliv. Detta är särskilt skyddade uppgifter enligt Artikel 9 i GDPRsom endast får behandlas i undantagsfall.
Kleanthi Sardeli, dataskyddsjurist på noyb: "Liksom många av sina amerikanska motsvarigheter samlar TikTok i allt högre grad in data från andra appar och källor. Detta gör det möjligt för den kinesiska appen att få en fullständig bild av människors onlineaktivitet. Det faktum att data från en annan app avslöjade den här användarens sexuella läggning och sexliv är bara ett av de mer extrema exemplen."
Medbrottslingar i olaglig databehandling. TikTok kunde endast få denna information med hjälp av det israeliska dataföretaget AppsFlyer och Grindr självt. AppsFlyer fungerar troligen som en slags mellanhand, som tar emot de känsliga uppgifterna om den klagande från Grindr och sedan vidarebefordrar dem till TikTok. Problemet: Varken AppsFlyer eller Grindr har en giltig rättslig grund enligt artikel 6.1 i GDPR för att dela den klagandes personuppgifter med tredje parter som TikTok. Och de har absolut inte någon giltig anledning att dela hans känsliga uppgifter enligt artikel 9.1 i GDPR. Den klagande har inte vid något tillfälle samtyckt till att hans uppgifter delas.
Otillräckligt svar på begäran om tillgång. Användare bör i allmänhet informeras om mottagarna av personuppgifter och till och med få en kopia av dessa uppgifter. TikTok verkar dock strukturellt bryta mot användarnas rätt att få en sådan kopia. TikTok hänvisar sina användare till ett "nedladdningsverktyg"men medgav senare att detta verktyg endast innehåller vad det anser vara mest "relevanta" data - och långt ifrån alla personuppgifter. Inte ens efter upprepade förfrågningar om att lägga till den saknade informationen gav TikTok information om vilka uppgifter som behandlas och i vilket syfte. Genom att göra detta bryter TikTok tydligt mot Artikel 12 och 15 GDPRsom kräver att företag tillhandahåller informationen i sin helhet och i ett lättförståeligt format.
Lisa Steinfeld, dataskyddsjurist på noyb: "TikTok leder sina användare till ett i sig ofullständigt "nedladdningsverktyg". Det är rimligt att anta att tusentals användare skickades till detta bluffverktyg, som strukturellt sett inte uppfyller de rättsliga kraven för att tillhandahålla en fullständig kopia av ens egna personuppgifter."
Klagomål inlämnade i Österrike. noyb har därför lämnat in två klagomål till den österrikiska dataskyddsmyndigheten (DSB). Det första klagomålet är riktat mot TikTok och handlar om det ofullständiga svaret på klagandens begäran om tillgång. Det andra klagomålet är riktat mot TikTok, AppsFlyer och Grindr och handlar om den odefinierade behandlingen av uppgifter utanför TikTok, avsaknaden av en giltig rättslig grund för datadelningen och behandlingen och överträdelsen av Artikel 9.1 i GDPR. Vi uppmanar TikTok att förse den klagande med den information som saknas och alla tre företagen att upphöra med den olagliga behandlingen av hans personuppgifter. Sist men inte minst föreslår vi att myndigheten ålägger en "effektiva, proportionerliga och avskräckande" böter enligt artikel 83 i GDPR för att förhindra liknande överträdelser i framtiden.
