TikTok is een populair platform waarop gebruikers filmpjes kunnen maken, bewerken en delen. De app wordt voornamelijk gebruikt door jongeren, waarvan een groot deel jonger dan 16 jaar is. Gebruikers communiceren met elkaar via chats, het geven van likes of door het plaatsen van reacties onder filmpjes. Via een algoritme wordt bepaald welke filmpjes de gebruiker automatisch te zien krijgt op de persoonlijke pagina. TikTok genereert inkomsten door advertenties. In mei 2020 berichtte de Autoriteit Persoonsgegevens (‘AP’) al dat er een onderzoek liep naar de verwerkingsactiviteiten van de populaire app. De eerste resultaten zouden eind 2020 worden gepubliceerd. Dat heeft echter langer op zich laten wachten. Onlangs is dan toch het langverwachte boetebesluit inzake TikTok gepubliceerd. De uitkomst: een boete van EUR 750.000,- voor het overtreden van de informatieverplichting die is verankerd in artikel 12 lid 1 AVG.
In dit artikel wordt het beginsel van transparantie – het belangrijkste onderdeel uit het rapport – uitgewerkt aan de hand van het boetebesluit. Daarnaast wordt ingegaan op de omstandigheden rondom het onderzoek van de AP, namelijk haar bevoegdheid en andere lopende onderzoeken.
Opvallend aan het boetebesluit van de AP is dat ‘enkel’ wordt ingegaan op de overtreding van de informatie- en transparantieplicht. Dit terwijl de AP in een eerder bericht ook sprak over het ontbreken van geldige toestemming. TikTok vraagt immers in verschillende situaties toestemming terwijl dit in Nederland pas geldig kan worden gegeven vanaf 16 jaar en gebruikers regelmatig jonger zijn dan 16. Tevens zijn er zorgen over onder andere het mogelijk delen van persoonsgegevens met bijvoorbeeld China zonder passende maatregelen en het gebruik van biometrische gegevens (waarmee ook de leeftijd van gebruikers kan worden ingeschat) zonder geldige grondslag. Daarnaast zou TikTok in verschillende markten (maar niet in Nederland) gebruik maken van profilering.
De AP is niet de enige Europese autoriteit die een onderzoek naar de werkwijze van TikTok is gestart. Eerder dit jaar heeft de Italiaanse autoriteit een beperking van verwerkingen opgelegd aan de video-app nadat een 10-jarige gebruiker zou zijn overleden door het nadoen van een geplaatste video. Ook de Franse en de Deense privacywaakhonden zijn vanwege verschillende klachten in de verwerkingsactiviteiten van de populaire app gedoken. De Deense autoriteit heeft het onderzoek inmiddels overgedragen aan de Ierse Data Protection Commssion (“DPC”).
Op de eerste pagina van het besluit is te lezen dat de AP de Ierse DPC gaat vragen “om het onderzoek af te ronden”. Op welke gronden de rest van het onderzoek van de AP zou zien is niet duidelijk. Echter is de kans aanwezig dat de boete van de AP dus niet de laatste voor TikTok zal zijn.
Tot juli 2020 was er in de app enkel een Engelstalig privacybeleid beschikbaar. Dit terwijl TikTok wordt gebruikt door een groot aantal jongeren in de leeftijd van 6(!) tot 18 jaar en met name populair is bij kinderen van 12 jaar oud. Het beschikbaar stellen van enkel Engelstalige informatie sluit volgens de AP niet aan die bij doelgroep, wat maakt dat artikel 12 AVG is overtreden. Op grond van dat artikel moet informatie namelijk begrijpelijk, duidelijk en in eenvoudige taal zijn. Daarnaast volgt uit Overweging 58 AVG dat kinderen specifieke bescherming verdienen; een kind moet informatie makkelijk kunnen begrijpen. Een Engelstalige tekst over de verwerking van persoonsgegevens voldoet daar volgens de AP niet aan.
Als belangrijk beginsel van het EU-recht is het transparantiebeginsel opgenomen als een van de basisbeginselen van de verwerking van persoonsgegevens: een verwerking moet rechtmatig, behoorlijk en transparant zijn zo volgt uit artikel 5(1)(a) AVG. Vanuit dit uitgangspunt moeten betrokkenen worden geïnformeerd over de verwerkingen waarbij hun gegevens betrokken zijn (Ow 60 AVG). Deze verplichting vormt dus de koppeling tussen het transparantiebeginsel en de informatieplicht.
Het transparantiebeginsel is al eerder door de European Data Protection Board uitgewerkt in de Richtsnoeren transparantie. In deze Richtsnoeren wordt uitgebreid ingegaan op de wijze van informeren en de factoren die relevant zijn bij de bepaling of de wijze van informeren passend is. De volgende handvatten zijn relevant:
Begrijpelijk: de informatie moet kunnen worden begrepen door een gemiddeld lid van het beoogde publiek;
Duidelijke en eenvoudige taal: de informatie die wordt verstrekt mag geen te juridische, technische of specialistische taal bevatten. Wanneer de verantwoordelijke zich richt tot betrokkenen die een andere taal spreken, moet een vertaling (onder bepaalde omstandigheden) in die talen worden verstrekt;
Kinderen of andere kwetsbare groepen: de vocabulaire, de toon en de stijl van de gebruikte taal moeten passend zijn voor kinderen.
TikTok is van mening dat het merendeel van de kinderen in staat zou moeten zijn om de Engelstalige documenten te begrijpen, onder meer gezien het algemene niveau van de beheersing van de Engelse taal in Nederland. De AP stelt echter dat TikTok beter onderzoek had moeten doen naar de doelgroep en de mate van begrijpelijkheid; volgens de AP kan redelijkerwijs niet worden beargumenteerd dat de informatie ook door kinderen onder de 16 jaar goed te begrijpen was.
Dat TikTok aanvullende maatregelen heeft genomen, zoals het plaatsen van pop-ups over de openbaarheid van video’s gedeeld in de app, het opzetten van een Help and Safety Centre en de verstrekking van een Nederlandse samenvatting van de privacyverklaring, maakt het voorgaande niet anders. Ondanks dat de AP erkent dat deze maatregelen kunnen bijdragen aan de mate van transparantie, moet informatie over de verwerking van persoonsgegevens op grond van artikel 13 AVG vooraf aan betrokkenen worden verstrekt. Dergelijke maatregelen zijn pas relevant op het moment dat de gebruiker al een account heeft aangemaakt en de verwerking van persoonsgegevens dus al van start is gegaan.
In juli 2020 heeft TikTok een Nederlandstalige privacyverklaring beschikbaar gesteld aan haar Nederlandse gebruikers. Vanaf dat moment was er volgens de AP geen sprake meer van een schending van artikel 12 AVG, nu dit document qua taal en vorm aansluit bij Nederlandstalige kinderen.
In het boetebesluit wordt verder ingegaan op de vraag of de AP wel bevoegd was om handhavend op te treden. Dit omdat TikTok - eerder enkel gevestigd in de VS - inmiddels een hoofdvestiging had Ierland, wat zou betekenen dat alleen de Ierse DPC binnen de EU een onderzoek zou mogen uitvoeren. Op grond van artikel 56 AVG is namelijk de toezichthoudende autoriteit van de hoofdvestiging, ook wel de leidende autoriteit genoemd, bevoegd op te treden in geval van grensoverschrijdende verwerkingen. Dit wordt het one-stop-shop principe genoemd.
De AP is van mening dat zij heeft mogen handhaven tot aan het moment van oprichting van de Europese vestiging in Ierland: 29 juli 2020. Wanneer er geen sprake is van een Europese vestiging mag immers in principe elke autoriteit in elke lidstaat handhaven. Omdat de overtreding waar de boete op ziet – namelijk het overtreden van artikel 12 AVG – al was beëindigd voordat TikTok zich heeft gevestigd in de EU, heeft de oprichting van de vestiging in Ierland geen gevolgen voor dit onderzoek van de AP.
Wilt u meer weten over dit onderwerp? Op 7 december 2021 organiseert Data&Privacyweb de Kennismarkt waar u kennis kunt opdoen over dit onderwerp.