Den europeiska integritetsorganisationen None of Your Business (noyb) har lämnat in två klagomål till den österrikiska dataskyddsmyndigheten Datenschutzbehörde (DSB) rörande behandling av personuppgifter kopplade till TikTok, Grindr och det israeliska analys- och spårningsföretaget AppsFlyer.
Det första klagomålet avser TikToks hantering av en registrerads rätt till tillgång enligt artikel 15 GDPR. En användare begärde en kopia av samtliga personuppgifter som TikTok behandlar om honom. Enligt noyb lämnade TikTok initialt en ofullständig respons och hänvisade till ett nedladdningsverktyg som endast innehåller ett urval av de uppgifter som företaget bedömer som ”relevanta”. Först efter upprepade förfrågningar framkom ytterligare information. Noyb gör gällande att detta strider mot artiklarna 12 och 15 GDPR, som kräver att information tillhandahålls fullständigt, transparent och i ett lättillgängligt format.
Det andra klagomålet rör spårning och delning av personuppgifter mellan appar. Enligt den information som användaren erhöll genom sin registerutdragsbegäran behandlade TikTok uppgifter om hans användning av andra appar, inklusive dejtingappen Grindr. Dessa uppgifter ska enligt klagomålet ha överförts till TikTok, sannolikt via AppsFlyer som mellanhand. Denna behandling gjorde det möjligt att dra slutsatser om användarens sexuella läggning och sexliv.
Uppgifter om sexuell läggning utgör särskilda kategorier av personuppgifter enligt artikel 9 GDPR, vilka endast får behandlas under särskilda förutsättningar. Noyb hävdar att varken TikTok, Grindr eller AppsFlyer haft giltig rättslig grund enligt artikel 6.1 GDPR, eller något tillämpligt undantag enligt artikel 9.2 GDPR, för att behandla eller dela dessa uppgifter. Enligt klagomålet har användaren inte lämnat något giltigt samtycke till sådan behandling.
Noyb har begärt att DSB ska ålägga TikTok att lämna fullständig information till den registrerade, att samtliga berörda företag ska upphöra med den aktuella personuppgiftsbehandlingen samt att myndigheten vidtar lämpliga tillsynsåtgärder, inklusive eventuella sanktionsavgifter enligt artikel 83 GDPR.