Frankrike: TikTok med 5 miljoner euro för bristande utformning av samtyckeslösning för cookies

Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt det sociala nätverket TikTok med 5 miljoner euro då användarna av tiktok.com inte haft möjlighet att lika lätt vägra cookies som de kunde acceptera dem och då användarna inte informerats på ett tillräckligt sätt om ändamålen för nätverkets olika cookies.

Av beslutet framgår att CNIL genomfört flera granskningar av webbplatsen tiktok.com under maj 2020 och juni 2022 för att kontrollera att gällande bestämmelser följs. Kontrollerna gällde endast TikToks webbplats, i ett oautentiserat utrymme, och inte mobilapplikationen.

Vid granskningen i juni 2021 konstaterade CNIL att TikTok Information Technologies UK Limited (TikTok UK) och TikTok Technology Limited (TikTok Ireland) visserligen erbjuder en knapp som gör det möjligt att omedelbart acceptera cookies, men att de inte har infört någon motsvarande lösning (knapp eller annat) som gör det möjligt för användaren att lika enkelt vägra dessa cookies. Enligt CNIL krävdes det istället flera klick av användaren att vägra alla cookies, i motsats till endast ett klick för att acceptera dem.

CNIL ansåg att en mer komplicerad vägringsmekanism faktiskt avskräckte användarna från att vägra cookies och uppmuntrade dem att föredra den enkla knappen “acceptera allt”. Enligt CNIL kränkte detta förfarande användarnas möjlighet att frivilligt ge sitt samtycke, vilket utgjorde en överträdelse av artikel 82 i den franska dataskyddslagen, eftersom det inte var lika lätt att vägra cookies som att acceptera dem vid tidpunkten för myndighetens granskning i juni 2021 och fram till TikToks implementering av en “väga allt-knapp” i februari 2022.

Dessutom ansåg CNIL att användarna inte informerades tillräckligt noggrant om ändamålet med cookies, både på den första informationsbannern och i det gränssnitt som användarna får tillgång till efter att ha klickat på en länk i bannern. CNIL drog därför slutsatsen att det fanns flera överträdelser av artikel 82 i dataskyddslagen.

Enligt CNIL är myndigheten materiellt behörig att kontrollera och sanktionera verksamhet i samband med cookies som TikTok placerat på användares terminaler i Frankrike. Den samarbetsmekanism som föreskrivs i dataskyddsförordningen (mekanismen med en enda kontaktpunkt) är enligt CNIL inte avsedd att tillämpas i dessa förfaranden, eftersom verksamhet som rör användningen av cookies omfattas av direktivet om integritet och elektronisk kommunikation, som införlivats i artikel 82 i dataskyddslagen.

Enligt CNIL är myndigheten också territoriellt behörig eftersom användningen av cookies sker inom ramen för TikTok SAS verksamhet, vilket utgör TikTok UK:s och TikTok Irelands etablering franska territorium. CNIL ansåg vidare att bolagen är gemensamt personuppgiftsansvariga eftersom de båda bestämmer ändamålen och medlen för användningen av cookies.

Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla TikTok UK och TikTok Ireland med 5 miljoner euro för att ha underlåtit att uppfylla skyldigheterna enligt artikel 82 i dataskyddslagen. Bötesbeloppet bestämdes med hänsyn till de konstaterade överträdelserna, antalet berörda personer, särskilt minderåriga, och de många tidigare meddelanden från CNIL om att det måste vara lika enkelt att vägra cookies som att acceptera dem.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 82 i lag nr 78-17 av den 6 januari 1978 om databehandling, datafiler och individuella friheter (dataskyddslagen)

Sanktionsavgift: 5 000 000 euro

Mottagare: TikTok Information Technologies UK Limited, TikTok Technology Limited

Beslutsnummer: SAN-2022-027

Beslutsdatum: 2022-12-29

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.