Francuski organ nadležan za zaštitu podataka o ličnosti („CNIL“) je nedavno doneo odluku kojom je društvenoj mreži TikTok izrekao kaznu u iznosu od 5 miliona evra zbog povrede odredaba francuskog Zakona o zaštiti podataka („Zakon“) i GDPR. Kazna je konkretno izrečena zbog nezakonitog korišćenja kolačića, tj. prikupljanja podataka o onlajn aktivnostima korisnika bez prethodnog pribavljanja njihovog validnog pristanka za takvu obradu podataka o ličnosti.

Okolnosti slučaja

 CNIL je sproveo istragu povodom korišćenja kolačića na veb-sajtu TikTok-a, društvene mreže usmerene na deljenje video sadržaja, koja je vlasništvo kineske kompanije ByteDance. Tokom istrage je utvrđeno sledeće:

• da su u situacijama u kojima korisnici nisu dali svoj pristanak za aktiviranje kolačića određeni marketinški kolačići ipak korišćeni;
• da je baner kolačića na TikTok veb-sajtu omogućavao korisnicima da prihvate sve kolačiće jednim „klikom“, dok je odbijanje istih podrazumevalo komplikovaniju proceduru, odnosno preduzimanje više koraka;
• da su u slučajevima pristanka korisnika na korišćenje kolačića na glavnom veb-sajtu isti bili automatski korišćeni i prilikom „ulaska“ korisnika na neki od TikTok-ovih poddomena, a bez ponovnog zahteva za pristanak, odnosno odobrenja korisnika; te
• da TikTok nije jasno i sveobuhvatno obavestio korisnike koji kolačići se koriste, za koje svrhe, kao ni koji lični podaci se putem istih prikupljaju.

Povreda odredaba GDPR i Zakona

Zakon propisuje obavezu rukovaoca podacima da pribavi pristanak lica čiji se podaci prikupljaju, tj. obrađuju upotrebom kolačića, osim u dva slučaja:

• ukoliko je jedina svrha prikupljanja podataka da omogući i olakša komunikaciju elektronskim putem; ili
• kada je to neophodno radi pružanja onlajn komunikacione usluge na zahtev korisnika.

Dakle, ukoliko prikupljanje podataka ima neku drugu svrhu, različitu od gorenavedenih izuzetaka, rukovalac može koristiti kolačiće samo ukoliko je prethodno pribavio pristanak lica na koje se podaci odnose, i to za svaku konkretno određenu svrhu.

Sa tim u vezi, tokom istrage je utvrđeno da je TikTok povredio navedene odredbe Zakona, budući da korišćeni kolačići ne potpadaju pod navedene izuzetke, te je rukovalac bio u obavezi da za svaku konkretnu svrhu pribavi pristanak lica čiji se podaci na taj način prikupljaju, tj. obrađuju.

Pored navedenog, odredbama GDPR propisano je da lice na koje se podaci odnose ima pravo da u bilo kom trenutku povuče svoj pristanak, kao i da o toj mogućnosti bude obavešteno pre davanja pristanka, u pogledu čega je CNIL utvrdio da korisnici TikTok-a nisu bili jasno i potpuno informisani o tome. CNIL je u odluci takođe istakao da povlačenje pristanka mora da bude podjednako jednostavno kao i njegovo davanje, a što takođe nije bilo adekvatno sprovedeno od strane TikTok-a.

Takođe, utvrđeno je da TikTok nije na jasan i potpun način informisao korisnike, odnosno lica na koja se podaci odnose koji kolačići se koriste, u koje svrhe, te koji podaci o ličnosti su predmet obrade, već je koristio opšte i neprecizne formulacije, što je onemogućilo davanje jasnog, slobodnog i informisanog pristanka.

Ishod i značaj postupka

CNIL je našao da je u konkretnom slučaju došlo do nezakonite obrade podataka o ličnosti, pri čemu je prilikom utvrđivanja visine kazne uzeo u obzir olakšavajuće i otežavajuće okolnosti, te je kaznio TikTok sa 2.5 miliona evra zbog obrade podataka o ličnosti bez validnog pristanka, te sa dodatnih 2.5 miliona evra zbog nedovoljno jasnih i potpunih informacija na baneru kolačića.

Francuski regulator pored navedene odluke istog meseca doneo još dve odluke kojima je zbog povrede iste odredbe Zakona kaznio Apple sa 8 miliona evra i Microsoft sa 60 miliona evra, i to sa sličnim obrazloženjem, te može se očekivati da će se ovakva praksa CNIL-a nastaviti i ubuduće.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.