Ova digitalna platforma obrađuje podatke svojih korisnika, prvenstveno u svrhu stvaranja korisničkih profila, ali i u marketinške svrhe te u svrhe oglašavanja raznih proizvoda i usluga. U dijelu sadržaja koji se nalazi na ovoj digitalnoj platformi kriju se brojni rizici za dobrobit djece, zbog čega sama platforma i biva predmetom brojnih rasprava ali i službenih istraga nadzornih tijela, kao što su nadzorna tijela za obradu osobnih podataka.
Djeca kao najranjivija skupina korisnika koja je očekivano manje svjesna rizika, posljedica te svojih prava u vezi s obradom njihovih osobnih podataka zaslužuju posebnu zaštitu u kontekstu same obrade podataka1 od strane pružatelja usluga informacijskog društva kao što su digitalne platforme, a jedan od takvih instrumenata zaštite je i obvezatno ishođenje privole roditelja ili skrbnika za obradu osobnih podataka djeteta ako je ono mlađe od određene dobi.
Naime, obrada osobnih podataka djeteta za usluge informacijskog društva dozvoljena je bez privole roditelja ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako je privolu dao ili odobrio nositelj roditeljske odgovornosti (pod uvjetom da dijete ima minimalno 13 godina).
Prema tome, TikTok kao digitalna platforma i pružatelj usluga informacijskog društva obvezan je integrirati funkcionalan i pouzdan alat za utvrđivanje dobi svojih korisnika, budući da prema Uredbi (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) ne smije obrađivati osobne podatke djece mlađe od 13 godina, odnosno djece dobne skupine između 13 i 16 godina bez privole nositelja roditeljske odgovornosti2.
Predmet spora
Irsko tijelo za zaštitu podataka po službenoj dužnosti provelo je istragu o obradi osobnih podataka na TikTok-u te nakon provedene istrage izdalo nacrt odluke o obradi osobnih podataka registriranih korisnika TikToka u dobi od 13 do 17 godina, kao i o određenim pitanjima u vezi s obradom osobnih podataka djece mlađe od 13 godina.
Na predmetni nacrt odluke upućeni su prigovori koji su odnosili, među ostalim, na pitanje je li došlo do povrede tehničke i integrirane zaštite podataka utvrđene u članku 25. Opće uredbe o zaštiti podataka3 vezano za verifikaciju dobi korisnika TikToka i je li došlo do povrede načela poštenosti u odnosu na određena obilježja dizajna korisničkog sustava.
Budući da nije postignut konsenzus o prigovorima koje su podnijela tijela za zaštitu podataka, pozvan je Europski odbor za zaštitu podataka (engl. European Dana Protection Board, skr. EDPB)4 radi rješavanja spora između tijela za zaštitu podataka.
Odluka EDPB-a
Pozvan da riješi spor između tijela za zaštitu osobnih podataka u roku od dva mjeseca, EDPB na svojoj plenarnoj sjednici održanoj 2. kolovoza 2023. godine usvojio je odluku o rješavanju sporova na temelju članka 65. Opće uredbe o zaštiti podataka5 u vezi nacrta odluke irskog tijela za zaštitu podataka u predmetu TikTok.
Obvezujuća odluka EDPB-a kojom se osigurava da nacionalna tijela za zaštitu podataka ispravno i dosljedno primjenjuju Opću uredbu o zaštiti podataka odnosi se na pravna pitanja koja proizlaze iz prigovora na nacrt odluke irskog tijela za zaštitu podataka kao vodećeg nadzornog tijela vezano za voditelja obrade – digitalnu platformu TikTok.
Vodeće nadzorno tijelo (irsko tijelo za zaštitu podataka) donijet će svoju konačnu odluku na temelju obvezujuće odluke EDPB-a, uzimajući u obzir njegovu pravnu procjenu, najkasnije mjesec dana nakon što je EDPB priopćio svoju odluku. EDPB će objaviti svoju odluku na svojim internetskim stranicama nakon što vodeće nadzorno tijelo obavijesti voditelja obrade o svojoj nacionalnoj odluci.
Ova odluka EDPB-a donesena u predmetu TikTok ima osobitu težinu i značaj budući će proizvesti reperkusije na vrlo osjetljiva pitanja obrade osobnih podataka djece kao najranjivije skupine društva na ovoj iznimno popularnoj digitalnoj platformi, koja sadržajem kojem djeca putem te iste platforme pristupaju svakodnevno izaziva brojne kontroverze. Upravo zato, ova odluka predstavlja korak naprijed u pokušaju zaštite djece od rizika kojim su izloženi korištenjem digitalne platforme TikTok, ali ne samo ove platforme već generalno, od rizika kojima su izloženi u digitalnom okruženju od strane svih pružatelja usluga informacijskog društva.
Maja Bilić Paulić, mag. iur.
IZVOR: Priopćenje Agencije za zaštitu osobnih podataka od 04. kolovoza 2023., dostupno na sljedećoj poveznici: https://azop.hr/edpb-usvojio-obvezujucu-odluku-u-predmetu-tiktok-2-8-2023/
^ 1 Načelo transparentnosti jedno je od načela propisanih Općom uredbom o zaštiti podataka koje ima za cilj zaštitu djece kao ispitanika. Prema ovom načelu zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.
^ 2 Čl. 8. Opće uredbe o zaštiti podataka propisuje uvjete koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društva u pogledu nuđenja usluga informacijskog društva izravno djetetu. U tom smislu propisano je da je obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.
Države članice mogu u te svrhe zakonom predvidjeti nižu dobnu granicu, pod uvjetom da takva niža dobna granica nije niža od 13 godina.
Nadalje, voditelj obrade mora uložiti razumne napore u provjeru je li privolu u takvim slučajevima dao ili odobrio nositelj roditeljske odgovornosti nad djetetom, uzimajući u obzir dostupnu tehnologiju.
^ 3 Prema čl. 25. Opće uredbe o zaštiti podataka - Tehnička i integrirana zaštita podataka 1. Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.
Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.
^ 4 EDPB je neovisno europsko tijelo i krovna organizacija koja okuplja nacionalna tijela za zaštitu podataka (nacionalna nadzorna tijela) zemalja Europskog gospodarskog prostora, kao i Europskog nadzornika za zaštitu podataka (EDPS). EDPB osigurava dosljednu primjenu Opće uredbe o zaštiti podataka i Direktive o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podatakatete osigurava suradnju, među ostalim u području provedbe. Tijela za zaštitu podataka odgovorna su za provedbu zakonodavstva o zaštiti podataka na nacionalnoj i prekograničnoj razini suradnjom putem mehanizma „sve na jednom mjestu”.
EDPB donosi obvezujuće odluke o prekograničnim predmetima o kojima nije postignut konsenzus. EDPB ima tajništvo sa sjedištem u Bruxellesu, a osigurava ga EDPS. U memorandumu o razumijevanju utvrđuju se uvjeti suradnje između EDPB i EDPS.
^ 5 Prema čl. 65. Opće uredbe o zaštiti podataka kako bi se osigurala ispravna i dosljedna primjena Uredbe u pojedinačnim slučajevima, EDPB donosi obvezujuću odluku ako je nadzorno tijelo podnijelo relevantan i obrazložen prigovor na nacrt odluke vodećeg tijela ili je vodeće tijelo odbilo takav prigovor kao nerelevantan ili neobrazložen. Obvezujuća odluka odnosi se na sva pitanja koja su predmet relevantnog i obrazloženog prigovora, a posebno na pitanje kršenja same Opće uredbe o zaštiti podataka;
