TikTok: fókuszban a gyermekek védelme

A kínai közösségi óriás gyors népszerűsége jelentős kockázatokat rejt önmagában, érdemes számolnunk a lehetséges megoldásokkal. A hirtelen jött sikert könnyen beárnyékolhatja a jogi, társadalmi és politikai akadályok hosszas sora. Jelen cikk a TikTok fiatalokra gyakorolt hatásaival, a gyermekekkel kapcsolatos adatvédelmi jogi problémákkal és az azokra adható megoldásokkal foglalkozik.

A siker

A TikTok szárnyalása jól láthatóan még ma is töretlen, az elmúlt évek trendjeit erőteljesen meghatározó platform felhasználóinak száma pedig folyamatosan növekszik. 2023-ban ott tartunk, hogy az aktív felhasználók száma már az 1 milliárdot is meghaladja világszerte. A közösségi óriás által kínált rövid, szórakoztató videókban – melyek hossza 15 másodperctől 10 percig terjedhet – az emberek táncolnak, élő videókat készítenek, hanganyagokra beszélnek, trendeket csinálnak vagy éppen kihívásokat teljesítenek. Itt futott be számos, azóta híressé vált ember is, akiknek a platform adta széles ismertség és lehetőségek, jelentős anyagi forrásokkal kecsegtettek. A platform élvezeti értéke forradalmi a piacon: csak görgetni kell és jön is az új tartalom felfelé, ha pedig tetszik valami nyomj rá kétszer és lájkolj. Kezelése tehát rendkívül egyszerű, nem igényel nagy odafigyelést. Az oldalt pontosan arra találták ki, hogy könnyen emészthető legyen. A regisztrációra 13 éven felül bárki jogosult, és bár népszerűsége fiatalok körében a legnagyobb (60%-a 30 év alatti), használatától még az idősebb generáció tagjai sem riadnak vissza. Az oldalt világszerte szinte mindenhol ismerik (154 országban), az Egyesült Államoktól Európán át Ázsiáig sokan használják. Vannak országok azonban (pl.: India) ahonnan már most – nemzetbiztonsági vagy egyéb okokra hivatkozva – tiltásra került. A platform mindezek mellett jelentős problémákkal küzd több kontinensen is: bizonyos országok annak kitiltását tervezik (pl.: USA, Franciaország), korlátozzák a kormányzati munkaeszközeiken való használatát (pl.: EU intézmények, USA, UK, Kanada, Belgium,) vagy éppen bírságokkal (UK, Hollandia) igyekeznek a hatályos előírások betartására kényszeríteni. Az intézkedések egyszersmind alkalmasak lehetnek, hogy véget vessenek a nagy nemzetközi menetelésnek. Az alkalmazást üzemeltető ByteDance számára érdemes lehet tehát végig gondolnia mit kockáztat, ha nem lép időben. A továbbiakban a platform egyik aggasztó, jogi problémákkal tűzdelt káros hatására kívánom felhívni a figyelmet, ami a gyermekek mentális egészségén túl az adatvédelmi jogi problémákra irányul.

TikTok irányelvek

A TikTok legfrissebb, 2023 márciusától hatályban lévő Közösségi Irányelvei szerint a platform célja, hogy „mindenki számára biztonságos és barátságos helyet” biztosítson. A platform használatához elméletileg 13 évet betöltöttnek kell lenni, aminek esetleges hiányát észlelve – a fellebbezés lehetőségét meghagyva – akár a profil törlésére kerülhet sor. Ezt a közösség tagjai is jelezhetik online formanyomtatványon vagy közvetlenül a platformon keresztül. A techóriás korábbi gyakorlata, mely szerint

kisebb vagy nagyobb trükközéssel szinte bárki tud regisztrálni

– akár az előírt 13 év alattiak is – egyelőre nem szűnt meg. Kérdéses, hogy a platform mennyire tartja szem előtt, hogy a 13 év alattiak eltávolításra kerüljenek, emellett a fiatalokat megfelelő tájékoztatásban részesítsék, illetve mindenkinek csak az életkorának megfelelő tartalmat szolgáltassák. vállalat a már korábban megfogalmazott kritikák nyomán megalkotta a szülői ellenőrzés szigorúbb eszközrendszerét. Megjelent a Family Pairing funkciója, amivel a gyermek telefonját közvetlenül tudják szabályozni a szülők. Az új funkció segítségével lehetőség nyílik rá, hogy összekapcsolják a szülői fiókokat a gyermekek fiókjaival, ezzel is különféle tartalom-, adatvédelmi és jóléti beállításokat bekapcsolva gyermekeik védelmében. Az amúgy jelkóddal védett párosítás során beállítható például a maximális képernyőidő, a videókkal kapcsolatos tartalomkorlátozás, a keresési képességek vagy éppen az üzenetküldő funkciók korlátozása.

GDPR és a gyermekek

A jelen cikk megszületésekor öt éve hatályos egységes európai uniós Általános Adatvédelmi Rendelet (GDPR) jelentős mértékben átalakította a személyes adatok kezelésével kapcsolatos szabályozást. Kiterjed minden olyan az Európai Unió területén tevékenységi hellyel rendelkező adatkezelőre, hatóságra, szervezetre, amely az uniós polgárok személyes adatait feldolgozza vagy kezeli. Fő célkitűzése a polgárok személyes adatainak védelme, amit nagyobb és kiterjedtebb ellenőrzési jogkörökkel kíván biztosítani. Ezzel párhuzamosan az adatkezelőknek is átláthatóbban és jogilag szabályozottabban kell az adatkezelést végezniük (pl. adatkezelési jogalap vizsgálata). A polgárokat leginkább érintő rendelkezések például: az adatokhoz való egyszerűbb hozzáféréshez, az adathordozhatósághoz, az adatok törléséhez és az adatok feltöréséről szóló tájékoztatáshoz való jog. A GDPR ennek megfelelően súlyos szankciórendszerrel él, ez esetenként akár 20 millió euró összegű bírságot is elérheti. A rendelkezés egyik – ha nem a legfontosabb – passzusa kimondja, hogy a természetes személyek

személyes adatainak kezeléséhez fűződő védelme alapvető jog.

Ez a szakasz természetesen fokozott védelmet igényel a fiatalkorúak esetében. A GDPR 8. cikke szerint a gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások során végzett személyes adatok kezelése akkor jogszerű, ha a gyermek legalább 16 éves vagy annál idősebb. „A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte”. Ettől főszabály szerint azonban lehetősége van eltérni a tagállamoknak, oly kikötéssel, hogy e célból a nyilatkozattevők, hozzájárulás nélkül 13 évnél fiatalabbak semmiképp sem lehetnek. Ezzel párhuzamosan adatkezelői szinten is fokozottan elvárt, hogy – az elérhető technológiát figyelembe véve – minden erőfeszítést megtegyen annak érdekében, hogy a jogszabályban előírt életkor alatt a szülői felügyeleti jogot gyakorló hozzájárulását adja vagy engedélyezze és ezt ellenőrizhesse.

Rekordbírság az Egyesült Királyságban

Sok országban folytak vagy folynak jelenleg is eljárások, vizsgálatok a TikTok működésével kapcsolatban. A legfrissebb döntés az Egyesült Királyságban született, 2023. április 4-én, ahol az eddigi legnagyobb mértékű bírságot szabták ki a cégre annak gyermekekkel kapcsolatos adatkezelésére hivatkozva. A brit Információs Biztos Hivatala (ICO) 12.700.000 fontra bírságolt, ami átszámítva meghaladja az 5 milliárd forintos összeget. Indokolásukban arra hivatkoztak, hogy a TikTok nem tett eleget a 13 év alattiakkal kapcsolatos törvényi és közösségi előírásoknak (és így a UK GDPR rendelkezéseinek). A brit jogszabályok is előírják, hogy amennyiben 13 év alatti személy kíván a platformra regisztrálni úgy ahhoz szülője vagy hozzátartozója engedélye is szükséges. Ezzel párhuzamosan azonban a TikTok kísérletet sem tett arra, hogy beazonosítsa és eltávolítsa őket platformjáról. John Edwards, az Egyesült Királyság információs biztosa úgy nyilatkozott: „Vannak olyan törvények, amelyek biztosítják, hogy

gyermekeink ugyanolyan biztonságban legyenek a digitális világban,

 mint a fizikai világban. A TikTok nem tartotta be ezeket a törvényeket.” Hozzátette továbbá, hogy csak az Egyesült Királyságban nagyjából egymillióra tehető azon fiatalok száma, akik jogtalanul használták a platformot. Ha belegondolunk ez elég aggasztó, hiszen nem tudjuk milyen tartalmakhoz férhettek vagy férhetnek hozzá most is. A közösségi média óriás ezen felül pedig gyűjtötte és felhasználta személyes adataikat, amelyek alkalmasak voltak a gyermekek nyomon követésére és profilalkotására is. A hatóság eredetileg még magasabb, 27 millió fontos bírság megállapítását helyezte kilátásba, ám figyelembe véve a TikTok nyilatkozatait, eltért ettől. A ICO azóta közzétette a gyermekek védelméről szóló kódexét, ami a fiatalok internetes világban való biztonságát és egészséges lelki fejlődését kívánja szolgálni. A kódex olyan online szolgáltatásokra vonatkozik (alkalmazások, játékplatformok, webes és közösségi média oldalak), amelyekhez gyermekek valószínűleg hozzáférhetnek. Ez iránymutató lehet sok ország számára.

A Children’s Code

Az ICO által létrehozott Children’s Code 15 pontban határozta meg a megfelelő védelem alappilléreit. A kódex leginkább az információs/online szolgáltatást nyújtó vállalkozásoknak ad tanácsokat ahhoz, hogy az adatkezelés során – ha abban gyermekek is érintettek – biztosíthassák a gyermekek általi megfelelő használatot, és emellett megfeleljenek a fejlesztési igényeinek. A lista a tudatos szülőket is célozza. Fontos, hogy a szülők a gyermekeik számára a legjobb döntést hozhassák meg. Sokszor a hozzátartozók a tiltó magatartáshoz nyúlnak, ami nem igazán tud előremutató lenni, esetleges belső, családi konfliktusokhoz vezethet. Inkább a párbeszéddel és a gyermekek életkorának, szellemi érettségének megfelelő platformok használatára való engedélyezéssel érdemes próbálkozni. Nem mindegy, hogy egy fiatalkorú hány éves, és ahhoz mérten milyen jellegű tartalmat képes maga számára befogadni. Gyakran találkozhatunk erőszakos, szexuális tartalmú, bántalmazó jellegű vagy éppen önbecsülési problémák indikálást eredményező posztokkal más platformokon esetén is.  A 15 pont többek között az átláthatóság, az adattakarékosság, az adatmegosztás, a szülői felügyelet vagy éppen a profilalkotás kérdésköreire irányul. A hatóság honlapján konkrét ajánlásokat találunk szülők számára: az adatvédelmi beállítások szigorúbb beállításait, a szülői ellenőrzés fokozását a gyermekek által használt eszközökön vagy éppen a helymeghatározás korlátozását. A kódex feladata annak kifejezett biztosítása, hogy a szolgáltatók oly módon használják fel a gyermekek adatait, amelyek támogatják a gyermekek azon jogát, hogy a véleménynyilvánítás szabadságához, a gondolat-, lelkiismeret- és vallásszabadsághoz, az egyesülési szabadsághoz és a magánélet szabadságához való joguk ne sérüljön. A ICO példáján felül más országok és intézmények is hasonló rendelkezésekkel próbálják védeni fiataljaikat, érdemes áttekinteni például az USA vagy az UNICEF erre irányuló programjait is.

Hollandia is bírságolt

2021-ben Hollandia is bírságolta már a társaságot (750.000 euró ~ 300 millió forint) a gyermekek személyiségi jogainak megsértése miatt. A brit hatóság által kiszabott bírság mértékét bár nem éri el, de ez is jelentős a gyermekek védelmét tekintve. A holland adatvédelmi hatóság (Autoriteit Persoonsgegevens) indoklása szerint a TikTok ott mulasztott, hogy nem alkotta meg az adatvédelmi nyilatkozatát holland nyelven (csak angolul), ami a holland felhasználókra – különösképp a gyermekekre nézve – hátrányos következményekkel járt. Ezzel nem adott megfelelő tájékoztatást arról, hogy mily módon gyűjti, kezeli és használja fel a felhasználók adatait (GDPR 12. cikk). A törvényi szabályozás értelmében, mely szerint az érintetteknek mindig

valós és érthető képet kell kapniuk,

hogy milyen módon rendelkeznek adataikkal, nem teljesült. A hiányos tájékoztatás fokozottan hátrányos a gyermekek számára, akiknek különösképp fontos, hogy érthető magyarázatot kapjanak a platform adatkezelési gyakorlatával kapcsolatban. A probléma azért is égető, mivel nagyon sok fiatal a magánéletével kapcsolatos adatait is megosztja az interneten, legyen az nyilvánosan elérhető vagy privát üzenetküldési forma. Fontos, hogy a gyermekek előre tisztában lehessenek azzal, milyen jogokkal rendelkeznek és milyen veszélyek leselkedhetnek rájuk. Fontos megjegyezni, hogy a holland hatóság csupán addig vizsgálódhatott az ügyben, amíg a cég nem rendelkezett egy Európában bejegyzett székhellyel. Ameddig nincs európai központ, addig főszabály szerint bármely uniós tagállam felügyelheti egy cég tevékenységét. Ez később azért változott meg, mert a cég Írországban létesített európai székhelyet. A hatóság a korábban megkezdett vizsgálatok eredményeit ennek megfelelően továbbította az ír adatvédelmi biztosnak, akinek innentől az azokról való határozathozatal a feladata.

Konklúzió: lehetséges és valószínűsíthető következmények Magyarországon

Hazai jogunkban az adatvédelmi szabályozás két legfőbb forrását az uniós szintű GDPR rendelkezések és az 2011. évi CXII. törvény (Info tv.) adják. Az adatvédelemért felelős hatóság szerepét a törvény alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tölti be. Az adatvédelmi szervhez nem csak akkor fordulhatunk, ha személyes adataink védelmét kívánjuk érvényesíteni, hanem ha közérdekű adatok nyilvánosságával (információszabadság) kapcsolatos alkotmányos jogainkkal összefüggő kérdéseink vannak vagy ezeket a jogainkat sérelem érte, esetlegesen kilátásban van ezek sérelme. A NAIH ezekkel összhangban minden évben jelentéseket, ajánlásokat, véleményeket fogalmaz meg vagy

ha jogsértés történt, bírságokat szab ki.

Adatvédelmi jogsértés esetén az uniós rendelkezések természetesen elsőbbséget élveznek a tagállami szabályokkal szemben. Valamennyi tagállam esetén ugyanazokat a szabályokat kell alkalmazni, azzal az eltéréssel, hogy a nemzeti szabályozás bizonyos esetekben eltérhet ettől. Ilyen például a GDPR 8. cikke is, amely a gyermekek hozzájárulásához szükséges minimális életkorban (13 – 16 éves) enged teret a nemzeti jogalkotásoknak, noha a magyar szabályozás ettől nem tér el. A NAIH hatáskörében többféle eljárást is lefolytathat, az érintett, az adatkezelő vagy éppen más személy kezdeményezésére, vagy akár hivatalból.

Amennyiben eljátszunk egy fiktív jogeset gondolatával, melyben mi magunk is egy, a TikTok általi jogsértést elszenvedő gyermek szülei vagyunk, minden bizonnyal – mint a gyermek törvényes képviselői – egy adatvédelmi hatósági eljárást lesz érdemes kezdeményeznünk.

Végeredményként meglátásom szerint – legyen az a holland vagy az Egyesült Királyságban megtörténthez hasonló – a bírság kiszabásán túl számos eszköz áll rendelkezésére a magyar adatvédelmi hatóságnak, amelyek szükségesek is a 16 éven aluli gyermekek személyes adatainak védelme érdekében. Többek között figyelmeztetheti az adatkezelőt a GDPR-t sértő gyakorlatára, elmarasztalhatja azt, utasíthatja az adatkezelőt az érintetti kérelem teljesítésére, felszólíthatja az adatkezelőt az adatvédelmi rendeletben foglaltak szerinti adatkezelésre, megtilthatja az adatkezelést vagy éppen tájékoztatja az érintettek a már megtörtént adatvédelmi incidensről. Bár hazánkban egyelőre nem született a külföldön felvetett problémákhoz hasonló döntés, mégis érdemes odafigyelnünk mily módon tudjuk megvédeni gyermekeinket az online tér adta kihívások ellen, amelyben meglátásom szerint a (közel)jövőben a magyar NAIH-nak is aktív szerepet kell vállalnia.

Ez a cikk az Arsboni 2023. tavaszi gyakornoki programjának keretében készült.

Források

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.