Tym samym kolejny po m.in. brytyjskim (Information Commissioner's Office) i holenderskim (Autoriteit Persoonsgegevens) organie nadzorczym, Europejskiej Radzie Ochrony Danych (European Data Protection Board) oraz organizacji non-profit noyb (znanej przede wszystkim z osoby honorowego przewodniczącego - Maxa Schremsa) podmiot dbający o bezpieczne i zgodne z prawem przetwarzanie danych osobowych upomniał się o prawa użytkowników TikTok-a. Lista „zarzutów”, pomimo, że długa, nie jest jednak nowa.
Bezprawne przetwarzanie danych osobowych dzieci
Zgodnie z art. 8 ust. 1 RODO przetwarzanie danych osobowych dziecka jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Użytkownicy aplikacji TikTok mogą założyć konto od 13 roku życia, co w wielu krajach Unii Europejskiej wymaga zgody (lub zaaprobowania) ze strony rodzica lub opiekuna prawnego. Ponadto użytkownicy mogą łatwo ominąć ten konkretny środek bezpieczeństwa, wprowadzając fałszywy wiek. Aplikacja nie weryfikuje również, czy rodzic (prawny opiekun) faktycznie zgadza się na korzystanie jego dziecka z TikToka.
Zbyt szeroki dostęp do danych
Domyślne ustawienia TikTok-a nie wpisują się w zasady przetwarzania danych osobowych (art. 5 RODO), ani nie chronią należycie praw i wolności osób, których dane dotyczą (określonych w art. 12-22 RODO oraz Karcie Praw Podstawowych Unii Europejskiej). TikTok nie podjął odpowiednich i skutecznych środków, aby zagwarantować, że przetwarzane będą tylko te dane osobowe, które są niezbędne do prawidłowego działania aplikacji. Co więcej, zdaniem autorów badania, domyślne ustawienia aplikacji mają na celu zebranie jak największej ilości danych od jej użytkowników.
Bezpieczeństwo danych
Zgodnie z art. 32 RODO administrator i podmiot przetwarzający, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Jak ujawniło dochodzenie przeprowadzone przez holenderską organizację, twórcy TikTok-a wydają się rażąco lekceważyć tę konkretną regulację. Co więcej, ostatnie ustalenia ujawniły kilka słabych punktów w aplikacji, do których należą:
- domyślnie włączone komponenty WebView i Remote WebView, zwiększające „powierzchnię” ataku na aplikację,
- przyjmowanie przez aplikację tekstu jako polecenie, a następnie przetwarzanie go bezpośrednio na język Java,
- wykorzystanie technologii Java Reflection, która pomaga skrócić czas „ładowania” maszyny wirtualnej. Ta specyficzna luka może być wykorzystana przez użytkowników o złych intencjach, co może prowadzić do luk bezpieczeństwa na poziomie 8,8 (CVSS).
Przekazywanie danych do państw trzecich
Badania przeprowadzone przez amerykańską firmę Penetrum wykazały, że TikTok posiada funkcje gromadzenia i śledzenia danych, a także, że przekazuje do Chin profile cyfrowe i osobowe użytkowników. Co więcej, badania wskazują, że 37,7% adresów IP użytkowników TikTok pochodzi z Chin i jest w szczególny sposób powiązanych z firmą Alibaba (zdaniem Nasdaq poprzez zintegrowanie zewnętrznych linków zakupowych z TikTok-iem).
Abstrahując od legalności wskazanych powyżej działań i skupiając się na systemowym – ujawnionym w regulaminie i polityce prywatności TikTok-a – przekazywaniu danych do państw trzecich należy stwierdzić, że co do zasady może mieć ono miejsce, gdy Komisja Europejska stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. w ramach objętych taką decyzją przekazanie danych jest dopuszczalne bez konieczności podejmowania dodatkowych działań. KE wydała takie decyzje np. wobec Kanady, Nowej Zelandii czy Izraela.
Przekazywanie przez TikTok-a danych osobowych opiera na wyjątku określonym w art. 46 ust. 2 lit. c RODO, tj. na standardowych klauzulach umownych przyjętych przez Komisję Europejską. w kontekście niedawnego orzeczenia TSUE (w sprawie C-311/18, Schrems II) stwierdzającego, że przekazywanie danych na podstawie standardowych klauzul umownych powinno być poprzedzone badaniem, czy poziom ochrony danych w państwie trzecim, do którego administratorzy danych z UE przekazują dane, odpowiada wysokim RODO-wskim standardom, należy zaznaczyć, że takie przekazanie nie może następować automatycznie, bez uprzedniej weryfikacji, czy porządek prawny kraju odbierającego dane nie stoi w sprzeczności z postanowieniami zawieranych klauzul.
Zła reputacja TikTok-a
Praktyki związane z przetwarzaniem danych użytkowników TikTok-a są obecnie kwestionowane na całym świecie. Dochodzenia w sprawie niewłaściwego działania aplikacji rozpoczęto zarówno w Europie, jak i USA. Europejska Rada Ochrony Danych (EROD) oświadczyła, że utworzy grupę zadaniową, która rozpocznie dochodzenie w sprawie praktyk przetwarzania danych przez TikTok-a.