Ítalska persónuverndarstofnunin varar við persónusniðnum auglýsingum hjá TikTok
Ítalska persónuverndarstofnunin sendir skýr skilaboð til TikTok með samþykkt á bráðaákvörðun.
Þann 7. júlí síðastliðinn samþykkti ítalska persónuverndarstofnunin bráðaákvörðun þar sem hún veitti TikTok viðvörun hvað varðaði þá ætlun fyrirtækisins að byggja vinnslu persónuupplýsinga í tengslum við gerð persónusniðinna auglýsinga í forritinu á lögmætum hagsmunum fyrirtækisins en ekki samþykki notenda miðilsins. Varaði stofnunin TikTok sérstaklega við því að persónuupplýsingar sem geymdar eru í tækjum notenda megi ekki nýta til að persónusníða auglýsingar að einstaklingum án þess að skýrt samþykki liggi fyrir.
Forsaga málsins er sú að nýlega breytti samfélagsmiðillinn persónuverndarstefnu sinni og tók upp þá stefnu að notendur 18 ára og eldri fengju persónusniðnar auglýsingar þar sem vinnsla persónuupplýsinga byggðist ekki lengur á samþykki notenda heldur lögmætum hagsmunum fyrirtækisins.
Í kjölfar þess hóf ítalska persónuverndarstofnunin strax athugun vegna breyttar stefnu fyrirtækisins og óskaði eftir upplýsingum frá samfélagsmiðlinum. Í kjölfar þeirra samskipta komst ítalska persónuverndarstofnunin að þeirri niðurstöðu að breytingin samræmdist hvorki tilskipun 2002/58/EB um persónuvernd í fjarskiptum (e. ePrivacy Directive) sem og 133. kafla ítölsku persónuverndarlaganna sem innleiðir ákvæði tilskipunarinnar. Bæði tilskipunin og lögin kveða á um að samþykki skráðra einstaklinga sé eini lagagrundvöllurinn fyrir varðveislu og aðgangi að upplýsingum í endabúnaði notenda.
Til viðbótar hafði ítalska stofnunin sérstakar áhyggjur af vernd persónuupplýsinga þeirra barna sem nota miðilinn þar sem þær breytingar sem TikTok hefur tekið upp varðandi persónuverndarstefnu sína útiloki ekki hættuna á að börn fái persónusniðnar auglýsingar, þar með talið óviðeigandi efni. Ástæða þess sé einkum sú að miðillinn hefur átt í vandræðum með að sannanlega staðfesta aldur barna í forritinu.
Ítalska persónuverndarstofnunin sendi því formlega viðvörun til TikTok um að vinnsla persónuupplýsinga á grundvelli lögmætra hagsmuna væri í andstöðu við lög. Áskildu þeir sér rétt til að grípa til viðeigandi ráðstafana sem gætu haft afleiðingar í för með sér, t.d. álagningu sekta. Einnig áskildi ítalska persónuverndarstofnunin sér til að grípa til frekari viðbótarráðstafana, breyti TikTok ekki stefnu sinni.
Í ljósi þess að um var að ræða brot gegn tilskipun 2002/58/ESB um persónuvernd í fjarskiptum gat ítalska stofnunin gripið til ráðstafana nú þegar, án þess að þurfa að fara í gegnum samræmingarkerfi persónuverndarreglugerðarinnar (GDPR). Samkvæmt þeim reglum sem gilda um samræmingarkerfið er írska persónuverndarstofnunin það stjórnvald sem hefur eftirlit með vinnslu persónuupplýsinga hjá TikTok, þar sem höfuðstöðvar fyrirtækisins innan EES eru á Írlandi. Þá hefur ítalska stofnunin tilkynnt málið til þeirrar írsku sem og til Evrópska persónuverndarráðsins.