Френският надзорен орган за защита на данните (CNIL) глоби TikTok UK и TikTok Ireland с 5 000 000 евро за това, че затрудняват потребителите на платформата да отказват бисквитки и че не ги информират достатъчно за тяхната цел. Това се приема като нарушение на чл. 82 от френските закони за защита на данните (DPA) – национален регламент, създаден в съответствие с рамката на GDPR (Общ регламент за защита на данните), който се прилага в цяла Европа. Глобата е определена на основата на тежестта на нарушенията, което включва броя на засегнатите лица, включително непълнолетни, и броя на предупрежденията от страна на CNIL, за налагане на промяна на регулирането на бисквитките, която да е съобразена със закона. Наказанието е наложено, след като между май 2020 г. и юни 2022 г. CNIL извърши няколко онлайн разследвания на уебсайта „tiktok.com“ и въз основа на документи, които са изискани от органа.
По време на проверката, извършена през юни 2021 г., CNIL отбеляза, че въпреки че компаниите TIKTOK UK и TIKTOK IRELAND са предлагали бутон, позволяващ незабавно приемане на бисквитки, те не са въвели еквивалентно решение (бутон или друго), което да позволи на интернет потребителя отказът им, също толкова лесно. Необходими са няколко щраквания, за да откажат всички бисквитки, за разлика от само едно, за да ги приемат. Относно ограниченията комисията счита, че усложняването на механизма за отказ всъщност обезкуражава потребителите да отказват бисквитки и ги насърчава да предпочитат лекотата на бутона „приеми всички“. Той стигна до заключението, че този процес нарушава свободата на съгласие на интернет потребителите. Второто нарушение е свързано с факта, че в „изкачащият банер“ не е предоставена достатъчна информация, относно целта на бисквитките, което води до заблуждение у потребителите, за какво точно дават съгласието си.
Подобни агресивни стратегии за събиране на лични данни са често срещано явление сред големите онлайн платформи. През 2022г., глоби бяха наложени и на Facebook и Google, за същото нарушение, на стойност 60 000 000 евро (68 милиона долара) и 150 000 000 евро (170 милиона долара), съответно. Подобен скорощен случай е и глобата, която Френският надзорен орган за защита на данните наложи на Apple от 8 000 000 евро (8,5 милиона щатски долара) за събиране на потребителски данни за целенасочена реклама в App Store, без да е искано или гарантирано съгласието на потребителя. Това е в нарушение на същия чл. 82 от френските закони за защита на данните (DPA).
Разглеждайки задълбочено проблема, следва да се отбележи, че между май 2021 г. и август 2022 г. 18 органа за защита на данните в Европейския съюз и Европейското икономическо пространство (ЕИП), включително CNIL, са получили няколкостотин оплаквания от асоциацията NOYB относно дизайна и характеристиките на банерите за бисквитки. В отговор беше създадена работна група, обединяваща всички доброволни европейски органи за защита на данните, за да анализира колективно различните въпроси, повдигнати от тези жалби. Основните точки, които са обсъдени, са свързани с начините за приемане и отказ на съхранение на бисквитки и дизайна на банери.
Проведени са 13 работни срещи, които са довели до приемането на доклад от Европейският съвет за защита на данните, представящ заключенията от извършените анализи, на 17 януари 2023 г. В този доклад се посочва, че огромно мнозинство от властите приемат, че липсата на каквато и да е опция за отказ/отхвърляне/несъгласие на бисквитки, по същия начин като това, предоставено за приемане на тяхното съхранение, представлява нарушение на законодателството (член 5, параграф 3 от Директивата за ePrivacy). Това потвърждава приетите преди това мерки за защита, от страна на CNIL, които бяха обсъдени по-горе.
Ако Вашата компания се нуждае от правни съвети във връзка със защитата на лични данни, можете да се свържете с екипа на ILAC.
Автор: Мона Тонова, юрист
Източници: Bleeping computer, Институционалната уебстраница на Френския надзорен орган (CNIL),Институционалната уебстраница на европейския надзорен орган за защита на личните данни