Data Protection Commission (DPC) har bötfällt TikTok Technology Limited med 345 miljoner euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att syftet med DPC:s utredning varit att undersöka i vilken utsträckning TikTok Technology under perioden mellan den 31 juli 2020 och den 31 december 2020 uppfyllt sina skyldigheter enligt GDPR i samband med sin behandling av barns personuppgifter gällande TikTok-plattformen. DPC tittade särskilt på vissa inställningar på TikTok-plattformen, inklusive offentliga standardinställningar samt de inställningar som är kopplade till funktionen “Family Pairing”, samt åldersverifiering som en del av registreringsprocessen.
Som en del av utredningen undersökte DPC också vissa av TikTok Technologys transparensskyldigheter, inklusive omfattningen av den information som lämnats till barn i förhållande till TikTok-plattformens standardinställningar.
Efter avslutad utredning lämnade DPC den 13 september 2022, i enlighet med artikel 60.3 GDPR, ett utkast till beslut till alla berörda tillsynsmyndigheter. DPC:s utkast till beslut föreslog slutsatser om överträdelser av artiklarna 5.1 (c), 5.1 (f), 12.1, 13.1 (e), 24.1, 25.1 och 25.2 GDPR. Även om det rådde bred enighet om DPC:s föreslagna slutsatser, framfördes invändningar mot utkastet till beslut av tillsynsmyndigheterna i Italien och Berlin (som agerade på uppdrag av sig själv och tillsynsmyndigheten i Baden-Württemberg). DPC kunde inte nå enighet med tillsynsmyndigheterna om föremålet för invändningarna och beslutade under omständigheterna att hänskjuta invändningarna till Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) för avgörande i enlighet med tvistlösningsmekanismen i artikel 65 GDPR.
EDPB antog sitt bindande beslut om invändningarna den 2 augusti 2023 med en anvisning om att DPC måste ändra sitt utkast till beslut för att inkludera ett nytt konstaterande av överträdelse av principen om korrekthet i artikel 5.1 (a) GDPR och för att utöka omfattningen av det befintliga beslutet.
I DPC:s beslut, som antogs den 1 september 2023, konstateras därför överträdelser av artiklarna 5.1 (a), 5.1 (c), 5.1 (f), 12.1, 13.1 (e), 24.1, 25.1 och 25.2 GDPR. Beslutet innehöll även följande korrigeringsbefogenheter: en reprimand, ett föreläggande om att TikTok Technology ska vidta de åtgärder som anges inom tre månader från den dag då företaget underrättades om DPC:s beslut, och
administrativa sanktionsavgifter på totalt 345 miljoner euro.