TikTok čelí vážnému obvinění z tajného sběru citlivých údajů o uživatelích mimo svou aplikaci – včetně údajů z Grindru a e-shopů. Rakouská organizace Noyb podala stížnost kvůli porušení GDPR a žádá přísné sankce.
TikTok se často objevuje ve zprávách kvůli své hravější stránce, jak by se na nejpopulárnější platformu pro krátká videa na světě slušelo. Vyšetřování, které právě vyšlo najevo, se však v těchto dnech dostává na titulní strany novin kvůli mnohem méně známé a méně přátelské stránce této sítě: systematickému sledování aktivit uživatelů mimo samotnou aplikaci, včetně nákupních zvyklostí a používání seznamovacích aplikací, a také možnému závažnému porušování obecného nařízení o ochraně osobních údajů (GDPR).
TikTok ví víc, než dává najevo
Poplach nastal, když jeden evropský uživatel využil svého práva na přístup k údajům podle článku 15 GDPR. To, co zpočátku obdržel, byla neúplná odpověď, směřovaná prostřednictvím nástroje pro stahování, který TikTok prezentuje jako přehled uložených osobních údajů.
Po vytrvalém hledání se však ukázala znepokojivější skutečnost: TikTok neshromažďoval pouze údaje o vaší aktivitě v rámci platformy, ale také informace z jiných aplikací, včetně aplikací pro elektronické obchodování a seznamovací aplikace Grindr.
Tyto údaje zahrnovaly konkrétní akce, jako je přidávání produktů do nákupního košíku nebo prosté používání seznamovací aplikace. V případě aplikace Grindr mohly vyvozené informace odhalit sexuální orientaci a intimní život, což jsou kategorie považované za zvláště chráněné údaje podle článku 9 nařízení GDPR, jejichž zpracování je zakázáno s výjimkou zcela výjimečných okolností.
Aktivisté a zprostředkovatelé
Před čtrnácti lety zahájil rakouský student práv Max Schrems nerovný právní boj proti sociální síti Facebook, když zjistil, že Facebook stále „bezpečně“ uchovává osobní údaje, které on sám již ze svého profilu smazal.
Výsledkem byly dva přelomové rozsudky nejvyššího evropského soudu a krach „bezpečného přístavu“, dohod, které umožňovaly předávání osobních údajů z EU do USA. Schrems zase nakonec založil evropskou neziskovou organizaci „Noyb“ (zkratka pro „None of Your Business“, tedy „Nic vám do toho není“), která se věnuje obraně soukromí a ochraně osobních údajů, zejména proti velkým technologickým společnostem.
Nyní Noyb představil vyšetřování, které přímo poukazuje na využívání soukromých údajů TikToku… a také na to, že síť tyto informace nezískala přímo, ale prostřednictvím izraelské společnostiAppsFlyer, která se specializuje na analýzu a přiřazování reklamy.
Společnost AppsFlyer tedy měla fungovat jako prostředník, který přijímal data z jiných aplikací – například z aplikace pro gay seznamování Grindr – a předával je společnosti TikTok ke komerčnímu využití. Hlavní problém je právní:
- Pro sdílení těchto údajů s třetími stranami neexistuje žádný platný právní základ podle článku 6 GDPR.
- Tím méně k předávání citlivých údajů, které článek 9 zakazuje bez výslovného souhlasu.
- Dotyčný uživatel nikdy nedal souhlas k této výměně informací.
Podle slov Kleanthi Sardeli, právničky společnosti Noyb, případ ukazuje, jak velké platformy „vytvářejí komplexní profil digitálního života lidí, daleko nad rámec toho, co uživatel vnímá“.
Porušené právo na přístup k vlastním informacím
Kromě samotného sledování upozorňuje vyšetřování na další kritický bod, a to na nedostatek transparentnosti. TikTok odkazuje uživatele na nástroj pro stahování, který podle samotné společnosti obsahuje pouze údaje, které považuje za „nejrelevantnější“.
To je v přímém rozporu s články 12 a 15 GDPR, které společnostem ukládají povinnost poskytnout úplnou a srozumitelnou kopii všech zpracovávaných osobních údajů.
Lisa Steinfeldová, právní poradkyně společnosti Noyb, označuje tuto praxi za zavádějící a varuje, že tisíce uživatelů mohly obdržet neúplné informace, aniž by skutečně věděli, jaké údaje jsou shromažďovány a za jakým účelem.
Jeden klíčový bod: odinstalovat TikTok nestačí. Pokud nákupní nebo seznamovací aplikace sdílejí data s reklamními zprostředkovateli, mohou tyto informace dále kolovat, i když uživatel TikTok už nikdy neotevře.
Právní fronta: Dvě stížnosti v Rakousku
V reakci na to podala společnost noyb dvě formální stížnosti u rakouského úřadu pro ochranu osobních údajů (DSB):
- Proti společnosti TikTok za to, že řádně nereagovala na žádost o přístup k údajům.
- Proti společnostem TikTok, AppsFlyer a Grindr za nezákonné sdílení údajů, zpracování citlivých informací a neexistenci platného právního základu.
Organizace požaduje nejen okamžité ukončení těchto praktik, ale také uložení „účinných, přiměřených a odrazujících“ pokut, jak to umožňuje článek 83 GDPR.
Ojedinělý případ, nebo příznak něčeho většího? Ačkoli je nyní TikTok v centru skandálu, i mnozí kritici uznávají, že problém je systémový. Dnešní digitální ekonomika se opírá o sítě reklamních zprostředkovatelů, stínové profily a neprůhledné datové toky, které jsou daleko za hranicí chápání běžného uživatele.
Tento případ poukazuje na rostoucí obavy z toho, jak velké technologické platformy nakládají s osobními údaji. Navzdory existujícím předpisům, jako je evropské nařízení GDPR, praktiky shromažďování údajů často překračují hranice toho, co je považováno za etické nebo legální. Sledování uživatelů mimo aplikace, bez jejich vědomí nebo výslovného souhlasu, vyvolává vážné otázky týkající se soukromí a kontroly osobních údajů.
V reakci na tyto obavy někteří odborníci na ochranu soukromí a aktivisté vyzývají k přísnější kontrole zásad ochrany osobních údajů a větší transparentnosti ze strany technologických společností. Kromě toho navrhují, aby si uživatelé více uvědomovali, jaké aplikace používají a jak jsou jejich údaje sdíleny.