Irlandia menyelidiki penanganan data anak-anak dan transfer TikTok ke China – TechCrunch 2MMSKITA

Komisi Perlindungan Data Irlandia (DPC) memiliki penyelidikan GDPR ‘Big Tech’ lain untuk ditambahkan ke tumpukannya: Regulator mengatakan kemarin telah membuka dua penyelidikan ke platform berbagi video TikTok.

Yang pertama mencakup bagaimana TikTok menangani data anak-anak, dan apakah itu sesuai dengan Peraturan Perlindungan Data Umum Eropa.

DPC juga mengatakan akan memeriksa transfer data pribadi TikTok ke China, tempat entitas induknya berbasis – mencari untuk melihat apakah perusahaan memenuhi persyaratan yang ditetapkan dalam peraturan yang mencakup transfer data pribadi ke negara ketiga.

TikTok dihubungi untuk mengomentari penyelidikan DPC.

Seorang juru bicara memberi tahu kami:

“Privasi dan keamanan komunitas TikTok, terutama anggota termuda kami, adalah prioritas utama. Kami telah menerapkan kebijakan dan kontrol ekstensif untuk melindungi data pengguna dan mengandalkan metode yang disetujui untuk mentransfer data dari Eropa, seperti klausul kontrak standar. Kami bermaksud untuk bekerja sama sepenuhnya dengan DPC.”

Pengumuman regulator Irlandia tentang dua pertanyaan “kehendak sendiri” mengikuti tekanan dari otoritas perlindungan data UE lainnya dan kelompok perlindungan konsumen yang telah menyuarakan keprihatinan tentang bagaimana TikTok menangani data pengguna secara umum dan informasi anak-anak secara khusus.

Di Italia Januari ini, TikTok diperintahkan untuk memeriksa ulang usia setiap pengguna di negara itu setelah pengawas perlindungan data memulai prosedur darurat, menggunakan kekuatan GDPR, mengikuti masalah keselamatan anak.

TikTok melanjutkan untuk mematuhi perintah – menghapus lebih dari setengah juta akun yang tidak dapat memverifikasi pengguna bukan anak-anak.

Tahun ini kelompok perlindungan konsumen Eropa juga telah mengangkat sejumlah masalah keamanan dan privasi anak tentang platform tersebut. Dan, pada bulan Mei, anggota parlemen Uni Eropa mengatakan mereka akan meninjau persyaratan layanan perusahaan.

Pada data anak-anak, GDPR menetapkan batasan tentang bagaimana informasi anak-anak dapat diproses, memberikan batasan usia pada kemampuan anak-anak untuk menyetujui penggunaan data mereka. Batas usia bervariasi per Negara Anggota UE tetapi ada batasan yang sulit untuk kemampuan anak-anak untuk menyetujui pada usia 13 tahun (beberapa negara UE menetapkan batas usia pada 16 tahun).

Menanggapi pengumuman pertanyaan DPC, TikTok menunjuk pada penggunaan teknologi age gating dan strategi lain yang dikatakannya digunakan untuk mendeteksi dan menghapus pengguna di bawah umur dari platformnya.

Itu juga menandai sejumlah perubahan terbaru yang dibuat di sekitar akun dan data anak-anak — seperti membalik pengaturan default untuk membuat privasi akun mereka secara default dan membatasi paparan mereka ke fitur tertentu yang dengan sengaja mendorong interaksi dengan pengguna TikTok lain jika pengguna tersebut berusia di atas 16 tahun. .

Sementara pada transfer data internasional mengklaim menggunakan “metode yang disetujui”. Namun gambarnya agak lebih rumit dari pernyataan TikTok. Transfer data Eropa ke China diperumit dengan tidak adanya perjanjian kecukupan data UE dengan China.

Dalam kasus TikTok, itu berarti, agar transfer data pribadi apa pun ke China menjadi sah, perlu ada “perlindungan yang sesuai” tambahan untuk melindungi informasi sesuai standar UE yang disyaratkan.

Ketika tidak ada pengaturan yang memadai, pengontrol data berpotensi mengandalkan mekanisme seperti Klausul Kontrak Standar (SCC) atau aturan perusahaan yang mengikat (BCR) — dan pernyataan TikTok mencatat bahwa ia menggunakan SCC.

Tetapi – yang terpenting – transfer data pribadi dari UE ke negara ketiga telah menghadapi ketidakpastian hukum yang signifikan dan pengawasan tambahan sejak keputusan penting oleh CJEU tahun lalu yang membatalkan pengaturan transfer data utama antara AS dan UE dan memperjelas bahwa DPA (seperti DPC Irlandia) memiliki kewajiban untuk turun tangan dan menangguhkan transfer jika mereka mencurigai data orang mengalir ke negara ketiga yang mungkin berisiko.

Jadi sementara CJEU tidak membatalkan mekanisme seperti SCC sepenuhnya, mereka pada dasarnya mengatakan semua transfer internasional ke negara ketiga harus dinilai berdasarkan kasus per kasus dan, jika DPA memiliki kekhawatiran, ia harus turun tangan dan menangguhkan data yang tidak aman tersebut. mengalir.

Putusan CJEU berarti hanya fakta menggunakan mekanisme seperti SCC tidak berarti apa-apa tentang: legalitas transfer data tertentu. Ini juga meningkatkan tekanan pada badan-badan UE seperti DPC Irlandia untuk proaktif dalam menilai aliran data yang berisiko.

Panduan terakhir yang dikeluarkan oleh European Data Protection Board, awal tahun ini, memberikan rincian tentang apa yang disebut ‘tindakan khusus’ yang mungkin dapat diterapkan oleh pengontrol data untuk meningkatkan tingkat perlindungan di sekitar transfer spesifik mereka sehingga informasi dapat secara hukum dibawa ke negara ketiga.

Tetapi langkah-langkah ini dapat mencakup langkah-langkah teknis seperti enkripsi yang kuat — dan tidak jelas bagaimana perusahaan media sosial seperti TikTok dapat menerapkan perbaikan seperti itu, mengingat bagaimana platform dan algoritmenya terus menambang data pengguna untuk menyesuaikan konten yang mereka lihat dan agar mereka tetap terlibat dengan platform iklan TikTok.

Dalam perkembangan terakhir lainnya, China baru saja mengesahkan undang-undang perlindungan data pertamanya.

Tetapi, sekali lagi, ini tidak mungkin banyak berubah untuk transfer UE. Perampasan data pribadi rezim Partai Komunis yang sedang berlangsung, melalui penerapan undang-undang pengawasan digital, berarti tidak mungkin bagi China untuk memenuhi persyaratan ketat Uni Eropa untuk kecukupan data. (Dan jika AS tidak bisa mendapatkan kecukupan UE, itu akan menjadi optik geopolitik yang ‘menarik’, dengan kata lain, jika status yang didambakan diberikan kepada China…)

Salah satu faktor yang dapat diambil hati oleh TikTok adalah bahwa ia kemungkinan memiliki waktu di sisinya dalam hal penegakan aturan perlindungan data Uni Eropa.

DPC Irlandia memiliki tumpukan besar investigasi GDPR lintas batas ke sejumlah raksasa teknologi.

Baru awal bulan ini regulator Irlandia akhirnya mengeluarkan keputusan pertamanya terhadap perusahaan milik Facebook – mengumumkan denda $ 267M terhadap WhatsApp karena melanggar aturan transparansi GDPR (tetapi hanya melakukannya bertahun-tahun setelah keluhan pertama diajukan).

Keputusan pertama DPC dalam kasus GDPR lintas batas yang berkaitan dengan Big Tech datang pada akhir tahun lalu – ketika mendenda Twitter $550k karena pelanggaran data sejak 2018, tahun dimana GDPR secara teknis mulai diterapkan.

Regulator Irlandia masih memiliki sejumlah kasus yang belum diputuskan di mejanya – melawan raksasa teknologi termasuk Apple dan Facebook. Itu berarti bahwa probe TikTok baru bergabung dengan kemacetan yang banyak dikritik. Dan keputusan tentang penyelidikan ini tidak mungkin selama bertahun-tahun.

Pada data anak-anak, TikTok mungkin menghadapi pengawasan yang lebih cepat di tempat lain di Eropa: Inggris menambahkan beberapa ‘anyaman emas’ ke versinya dari GDPR UE di bidang data anak-anak – dan, mulai bulan ini, mengatakan pihaknya mengharapkan platform memenuhi yang direkomendasikan standar.

Ia telah memperingatkan bahwa platform yang tidak sepenuhnya terlibat dengan Kode Desain Sesuai Usianya dapat menghadapi hukuman berdasarkan GDPR Inggris. Kode Inggris telah dikreditkan dengan mendorong sejumlah perubahan terbaru oleh platform media sosial tentang bagaimana mereka menangani data dan akun anak-anak.