Tiktoks popup-rutor innebar manipulativ design – påverkade barn att välja public mode

I augusti stod det klart att Tiktok Technology Limited (Tiktok) skulle tilldelas en sanktionsavgift på grund av bristande behandling av barns personuppgifter, vilket vi tidigare har skrivit om här. Fallet hade hänskjutits från den irländska dataskyddsmyndigheten (DPC) till Europeiska dataskyddsstyrelsen (EDPB) för att enighet inte hade uppnåtts avseende vissa invändningar från andra europeiska dataskyddsmyndigheter. Det närmare innehållet i EDPB:s beslut skulle dock offentliggöras först efter att DPC beslutat om sanktionsavgiftens omfattning.

I fredags meddelades i DPC:s slutliga beslut att Tiktok tilldelas en sanktionsavgift om 345 miljoner euro. EDPB:s beslut avseende vissa delar av DPC:s undersökning går att läsa i sin helhet här.

Centralt för beslutet var hur olika inställningar i applikationen hade presenterats för barn. Inom ramen för GDPR är barn att betrakta som ett särskilt skyddsvärt datasubjekt, eftersom barn i regel är mindre medvetna om sina rättigheter vad gäller personuppgifter. I skäl 38 till GDPR betonas vikten av särskilt skydd för barns personuppgifter vid skapandet av personlighets- eller användarprofiler.

EDPB framhöll att valmöjligheter som har med integritet att göra ska designas på ett objektivt och neutralt sätt. En applikations användargränssnitt får alltså inte påverka användaren att välja det ena eller det andra alternativet. Sådana så kallade ”dark patterns”, eller manipulativ design, har tidigare behandlats i EDPB:s vägledning om manipulativ design. Den rättsliga utgångspunkten för detta är principen om korrekthet (fairness) i artikel 5.1.a) GDPR, vilken föreskriver att personuppgiftsbehandling ska ske på ett lagligt, korrekt och öppet sätt. Därtill aktualiseras också artikel 25 GDPR om inbyggt dataskydd och dataskydd som standard.

Tiktok hade tillämpat två popup-funktioner för registrering respektive publicering av videor. Vid registreringen fick användaren två alternativ, att välja ”go private” eller ”skip”. Som standardinställning var alltså ett nytt konto publikt.  När användaren senare postade en video på Tiktok visades en popup med alternativet ”post now” respektive ”cancel”.

EDPB identifierade vissa dark patterns i respektive popup-funktion, som föranledde att barn valde inställningar som skulle komma att negativt påverka hur deras personliga data behandlades. EDPB framhöll att ordet ”skip”, i samband med registrering, hade placerats till höger på användarens skärm, medan ”go private” satt på vänster sida. Detta ansågs uppmuntra användaren till att välja just ”skip”, eftersom det för de flesta användare sitter i muskelminnet att standardalternativet brukar finnas till höger. Vid publicering av videor var alternativet ”post now” också placerat till höger, medan ”cancel” var mindre synlig. För att göra videon privat, var användaren tvungen att gå in i inställningarna och ändra till privat användarläge. Eftersom barn föranleddes att välja de alternativ som ledde till publika användarinställningar, hade Tiktok därmed misslyckats med att i största möjliga utsträckning skydda barns personuppgifter. Därför konstaterade EDPB att Tiktok hade brutit mot artikel 5.1.a) GDPR och anvisade DPC att lägga till det i sitt slutliga beslut.

Tiktok har i ett pressmeddelande framhållit att beslutet tar sikte på överträdelser som ägt rum mellan juli och december 2020 och att Tiktok sedan dess vidtagit åtgärder för att vara compliant med GDPR. DPC har tidigare mottagit kritik för att handläggningen av GDPR-ärenden tar allt för lång tid.

Denna artikel är skriven av Associate Rebecka Undén.