TikTok a RODO w sektorze publicznym – czego urzędy mogą dowiedzieć się z niemieckich zaleceń dla instytucji

Najważniejsze wnioski

• Każdy organ lub podmiot publiczny prowadzący konto na TikToku musi przeprowadzić rzetelną ocenę zgodności takiego działania z przepisami RODO, zanim zdecyduje się na obecność na platformie.
• Instytucje publiczne będące administratorem danych powinny włączyć Inspektora Ochrony Danych w procedurę oceny ryzyka związanego z korzystaniem z TikToka oraz wdrożenia odpowiednich środków ochrony danych osób fizycznych.
• Korzystanie z TikToka przez podmioty publiczne rodzi poważne wątpliwości dotyczące legalności przetwarzania danych, w szczególności w zakresie przekazywania ich do państw trzecich oraz ochrony danych niepełnoletnich użytkowników.
• Instytucje publiczne powinny zapewnić obywatelom alternatywne kanały dostępu do informacji, które nie wymagają przetwarzania ich danych przez podmioty zewnętrzne, takie jak dostawca TikTok.
• Audyt zgodności korzystania z mediów społecznościowych z RODO powinien być przeprowadzany regularnie – co najmniej raz w roku – a jego wyniki udostępniane publicznie.

Kwestia przetwarzania danych w kontekście korzystania z TikTok przez jednostki administracji publicznej 

Zarówno podmioty, jak i obywatele korzystający z dużych platform mediów społecznościowych mają zazwyczaj ograniczone możliwości wpływania na przetwarzanie danych osobowych i warunki użytkowania. Właśnie w tym kontekście organ nadzorczy kwestionuje zgodność przetwarzania danych osobowych podczas korzystania z TikToka z wymogami europejskiego i niemieckiego prawa o ochronie danych. W szczególności podaje w wątpliwość, czy przetwarzanie danych podczas korzystania z TikToka jest zgodne z podstawowymi zasadami ochrony danych określonymi w art. 5 i 25 RODO oraz czy opiera się na ważnej podstawie prawnej zgodnie z art. 6 RODO, a także czy są spełnione szczególne wymagania art. 8 RODO dotyczące przetwarzania danych osób niepełnoletnich oraz art. 13 i 14 RODO w zakresie przejrzystego informowania osób, których dane dotyczą.

Lista kontrolna dotyczącą korzystania z TikToka zgodnie z ochroną danych

Poniżej przedstawiamy listę kontrolną dla organów publicznych dotyczącą korzystania z TikToka. Każda instytucja, która prowadzi działania na TikToku w celach urzędowych, powinna być w stanie odpowiedzieć na wskazane pytania, aby ustalić, czy korzystanie z tej aplikacji w danym przypadku jest zgodne z przepisami o ochronie danych osobowych.

1. Jakiego rodzaju konto na TikToku jest prowadzone przez organ publiczny (konto osobiste, konto służbowe)? W tym kontekście niemiecki organ nadzorczy, używając określenia „konto osobiste”, zapewne miał na myśli konta prowadzone przez urzędników lub nawet jednoosobowe organy (takim organem w Polsce jest np. Prezes Urzędu Ochrony Danych Osobowych).
2. Jeśli organ publiczny może być w jakikolwiek sposób powiązany z rządem, politykiem lub partią polityczną, to czy prowadzone konto zostało sklasyfikowane przez TikToka jako „konto rządu, polityka lub partii politycznej” (jak opisano w centrum pomocy TikToka; patrz: https://support.tiktok.com/en/using-tiktok/growing-your-audience/government-politician-and-political-party-accounts)? Jeśli tak, to czy organ publiczny jest świadomy przetwarzania danych osobowych związanego z tym kontem oraz czy zna wytyczne TikToka, które zgodnie z wyjaśnieniami dostawcy usług „pomagają zapobiegać nadużywaniu niektórych funkcji”? Jaki był wynik ewentualnej kontroli zgodności tego przetwarzania z przepisami o ochronie danych?
3. Jakie możliwe konfiguracje TikToka zostały wprowadzone dla konta w celu ochrony danych osobowych?
4. Jakie tzw. narzędzia twórców (patrz: https://support.tiktok.com/en/using-Tik%20Tok/creating-videos/creator-tools-on-Tik%20Tok) są wykorzystywane? W jakim stopniu nowe lub starsze treści związane z kontem są tworzone lub wzbogacane na podstawie obserwacji, udostępnień i innych reakcji? Jakie analizy dotyczące korzystania z konta są przeprowadzane lub umożliwiane przez TikToka?
5. W jaki sposób organ publiczny korzystający z TikToka klasyfikuje obowiązki w zakresie ochrony danych osobowych (administrator, współadministrator, podmiot przetwarzający)? Jakie role mają w szczególności dany organ, TikTok i ewentualnie inne zaangażowane podmioty?
6. Na jakich podstawach prawnych opiera się przetwarzanie danych osobowych podczas korzystania z TikToka? W jaki sposób gwarantuje się w szczególności, że podczas współpracy z innymi przedsiębiorstwami lub instytucjami istnieje podstawa prawna do wymiany danych i że określono ich obowiązki (odrębny administrator, współadministrator, podmiot przetwarzający)? Jeśli zawarto umowy zgodnie z art. 26 RODO (umowa współadministrowania) oraz art. 28 ust. 3 RODO (umowa powierzenia), należy je zachować.
7. W jaki sposób zapewnia się jasność – z perspektywy użytkownika – obowiązków określonych w pkt 5 oraz zakresu przetwarzania danych osobowych?
8. Czy istnieje koncepcja komunikacji w mediach społecznościowych dotycząca korzystania z TikToka (tzw. koncepcja korzystania z mediów społecznościowych; por. wymagania w: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/02/Wesentliche-Anforderungen-an-die-beh%C3%B6rdliche-Nutzung-Sozialer-Netzwerke.pdf), która
• określa cel lub cele, rodzaj i zakres przewidywanego wykorzystania danych,
• zawiera uzasadnienie decyzji o wykorzystaniu TikToka, w tym wyjaśnienie, dlaczego cel lub cele nie mogą być osiągnięte za pomocą alternatywnych kanałów (konieczność),
• określa odpowiedzialność za obsługę redakcyjną lub techniczną,
• zapewnia realizację praw osób, których dane dotyczą, zgodnie z art. 12 i nast. RODO oraz
• zawiera ocenę skutków planowanych operacji przetwarzania dla ochrony danych (DPIA) zgodnie z art. 35 RODO?
9. Czy koncepcja opisana w pkt 8 lub ustalenia dotyczące tematów tam wymienionych są poddawane ocenie pod kątem konieczności i zakresu korzystania z sieci społecznościowej na podstawie zdobytych doświadczeń? Czy ocena ta jest:
• przeprowadzana regularnie – co najmniej raz w roku,
• ogólnie dostępna i odpowiednio publikowana w Internecie?

W przypadku przeprowadzenia oceny należy przedstawić zastosowaną metodologię oraz informacje na temat organu oceniającego.

10. Czy istnieją alternatywne kanały, dzięki którym obywatele mogą uzyskać dostęp do informacji publikowanych na TikToku bez przetwarzania danych przez osoby trzecie? Jakie są to kanały i w jaki sposób zapewniona jest równoważność informacji?
11. Czy istnieją alternatywne możliwości interaktywnego udziału zainteresowanych osób w komunikacji dotyczącej informacji udostępnianych przez organ publiczny na TikToku (np. komentowanie, udostępnianie, ocenianie)? Jakie są to możliwości i w jaki sposób zapewniona jest równoważność treści i możliwości komunikacyjnych?
12. Jakie środki ochronne zostały podjęte w celu zapewnienia szczególnej ochrony danych osobowych dzieci, danych osobowych szczególnych kategorii oraz danych dotyczących wyroków skazujących i naruszeń prawa zgodnie z art. 9 i 10 RODO?
13. Czy istnieje (aktualny) rejestr czynności przetwarzania (art. 30 RODO) w odniesieniu do korzystania z TikToka?
14. W jaki sposób zapewnia się identyfikowanie przetwarzania danych osobowych w państwie trzecim i czy istnieją wystarczające gwarancje prawne dla takich czynności przetwarzania w danym państwie trzecim?

Szczegółowa analiza powyższych kwestii i odpowiedź na wszystkie pytania pozwolą wyciągnąć określone wnioski dotyczące tego, czy działania organu publicznego związane z korzystaniem z aplikacji TikTok są zgodne z RODO.

TikTok a RODO w sektorze publicznym – rola inspektora ochrony danych IOD

Każdy organ lub podmiot publiczny korzystający z TikToka jako administrator danych jest co do zasady zobowiązany do wyznaczenia inspektora ochrony danych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Inspektor odgrywa kluczową rolę we wdrożenia narzędzi i procedur zapewniających bezpieczeństwo danych osób fizycznych, a jego udział w ocenie zgodności korzystania z platform społecznościowych takich jak TikTok z przepisami RODO powinien być obowiązkowym elementem każdego procesu decyzyjnego w tym zakresie.

W praktyce oznacza to, że przed uruchomieniem konta na TikToku instytucja publiczna powinna przeprowadzić – we współpracy z IOD – audyt planowanych operacji przetwarzania danych oraz ocenę skutków dla ochrony danych (DPIA), a wyniki tych działań odpowiednio udokumentować i poddawać regularnej weryfikacji.

FAQ – najczęściej zadawane pytania

Czy urząd może prowadzić konto na TikToku?

Prowadzenie konta na TikToku przez instytucję publiczną jest możliwe, ale wymaga uprzedniej analizy zgodności z przepisami RODO i spełnienia szeregu warunków dotyczących bezpieczeństwa danych. Organ publiczny jako administrator danych musi być w stanie wykazać, że przetwarzanie danych osobowych użytkowników platformy odbywa się zgodnie z zasadami legalności, proporcjonalności i przejrzystości.

Czy podmiot publiczny musi wyznaczyć inspektora ochrony danych przed wejściem na TikToka?

Każdy organ lub podmiot publiczny jest co do zasady zobowiązany do wyznaczenia inspektora ochrony danych – z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości. Udział IOD w procedurze oceny zgodności korzystania z TikToka z RODO jest niezbędnym elementem odpowiedzialnego wdrożenia tej platformy w komunikacji urzędowej.

Jaką rolę odgrywa inspektor ochrony danych przy korzystaniu z TikToka?

IOD powinien uczestniczyć w audycie planowanych operacji przetwarzania danych, opiniować procedury wewnętrzne oraz czuwać nad przeprowadzeniem oceny skutków dla ochrony danych (DPIA). Jego zadaniem jest również monitorowanie zgodności działań instytucji z przepisami RODO i sygnalizowanie ryzyk związanych z korzystaniem z platformy.

Czy TikTok przetwarza dane osobowe użytkowników odwiedzających profil urzędu?

Tak – samo wejście na profil instytucji publicznej na TikToku uruchamia przetwarzanie danych osobowych osób fizycznych przez platformę, niezależnie od tego, czy odwiedzający posiada własne konto.

Jakie przepisy RODO są szczególnie istotne przy ocenie korzystania z TikToka?

Kluczowe znaczenie mają art. 5 i 25 RODO dotyczące podstawowych zasad ochrony danych i privacy by design, art. 6 RODO regulujący podstawy prawne przetwarzania oraz art. 13 i 14 RODO nakładające obowiązki informacyjne. Istotne są również art. 8 RODO dotyczący ochrony danych niepełnoletnich oraz art. 35 RODO nakładający obowiązek przeprowadzenia oceny skutków dla ochrony danych przy ryzykownych operacjach przetwarzania.

Co to jest koncepcja korzystania z mediów społecznościowych i czy urząd jej potrzebuje?

Jest to wewnętrzny dokument określający cele, zakres i procedurę korzystania z platformy społecznościowej przez instytucję publiczną, zawierający m.in. uzasadnienie wyboru danego kanału i ocenę jego niezbędności. Opracowanie takiej koncepcji jest jednym z kluczowych wymogów wskazanych przez niemiecki organ nadzorczy i stanowi ważny element dokumentowania zgodności z RODO.

Jak chronić dane dzieci korzystających z TikToka?

Instytucja publiczna powinna wdrożyć szczególne środki ochrony danych niepełnoletnich użytkowników, zgodnie z art. 8 ROD, w szczególności uzyskać zgodę rodziców na przetwarzanie danych osobowych dziecka.

Co grozi instytucji publicznej za niezgodne z RODO korzystanie z TikToka?

Organ nadzorczy może nałożyć na instytucję publiczną karę lub nakazać zaprzestanie przetwarzania danych. Ponadto określone niezgodności mogą skutkować odpowiedzialnością odszkodowawczą wobec osób, których dane dotyczą.