Avstrija: Dve pritožbi zoper TikTok
Nezakonito sledenje uporabnikom tudi zunaj lastne platforme in onemogočanje celovitega dostopa do lastnih osebnih podatkov sta bila povod za pritožbe zoper upravljavca priljubljene video platforme in njegove poslovne partnerje.
Novica je bila objavljena 17. 12. 2025.
Evropska nevladna organizacija za varstvo digitalnih pravic Noyb je pri avstrijskem nadzornem organu vložila dve pritožbi zoper upravljavca priljubljene video platforme ter njegova poslovna partnerja AppsFlyer in Grindr. Povod zanje so bile obsežne in netransparentne prakse sledenja uporabnikom tudi izven same aplikacije. Primer se je razvil na podlagi uveljavljanja pravice do dostopa do osebnih podatkov po členu 15 GDPR, v okviru katere je posameznik ugotovil, da upravljavec razpolaga tudi s podatki o njegovi uporabi drugih aplikacij na pametnem telefonu.
Iz razkritih informacij je izhajalo, da so bili posredovani tudi podatki o uporabi aplikacije Grindr, kar omogoča sklepanje o spolni usmerjenosti in intimnem življenju posameznika. Takšni podatki sodijo med posebne vrste osebnih podatkov, katerih obdelava je po GDPR dopustna le v izjemnih in strogo omejenih primerih. Posameznik za takšno obdelavo ni podal izrecne privolitve, prav tako ni bil ustrezno obveščen o prenosu teh podatkov.
Po navedbah Noyb naj bi ključno vlogo pri prenosu podatkov imela družba AppsFlyer, ki deluje kot ponudnik analitičnih in sledilnih storitev. Ta naj bi podatke prejemala od Grindrja in jih posredovala tretjim osebam, brez obstoja ustrezne pravne podlage po členu 6 GDPR in brez izpolnjevanja pogojev za zakonito obdelavo posebnih vrst osebnih podatkov.
Poleg vprašanj zakonitosti sledenja zunaj aplikacije je bil problematičen tudi način uresničevanja pravice do dostopa. Upravljavec je uporabnika napotil na interno orodje za prenos podatkov, ki pa ne omogoča celovitega vpogleda v vse obdelovane osebne podatke, temveč zgolj v izbran nabor informacij. Kljub dodatnim pojasnilom in ponovnim zahtevam manjkajoči podatki o obsegu, namenih obdelave in prejemnikih niso bili posredovani, kar po oceni Noyb pomeni kršitev načel preglednosti in obveznosti jasnega obveščanja posameznikov.
V okviru postopka se od nadzornega organa zahteva, da zavezancem odredi prenehanje nezakonitih praks ter zagotovi, da bo posamezniku omogočen popoln dostop do njegovih osebnih podatkov. Predlagana je tudi izrek sankcij v skladu s členom 83 GDPR, ki naj bodo učinkovite, sorazmerne in odvračilne.
Primer ponovno izpostavlja pomen dejanskega, in ne zgolj formalnega, spoštovanja pravice do dostopa ter odgovornost vseh subjektov, ki sodelujejo pri obdelavi osebnih podatkov v kompleksnih digitalnih ekosistemih.
Vir: noyb.eu
Naslovna fotografija: Pexels
