נציבות הגנת המידע האירית (ה-DPC) הטילה על טיקטוק קנס של 345 מיליון אירו בגין הפרת הוראות ה-GDPR בקשר עם חשבונות המשתמש של ילדים בפלטפורמה.
לפי פרסום הרגולטור האירי, בהליך החקירה שניהל, בחן בין השאר את הגדרות הפרטיות הזמינות למשתמשים, לרבות הגדרות הנוגעות לחשבונות משפחתיים וחשבונות פומביים; את הליך אימות גיל המשתמשים; ואת עמידת החברה בחובות השקיפות המוטלות עליה. מהחקירה עלה כי בתקופה שבין ה-31.7.20 ובין ה-31.12.20 הגדירה טיקטוק את חשבונותיהם של ילדים כפומביים כברירת מחדל, איפשרה לחבר חשבונות מבוגרים לחשבונות ילדים במסגרת שיתוף חשבונות משפחתי (family sharing) מבלי לאמת את זהותם, וכן יישמה פרקטיקות של "תבניות אפלות" (dark patterns) כלפי משתמשים ילדים. בכך, הפרה את חובותיה מכוח ה-GDPR לצמצום המידע, לשמירה על שלמות המידע, לשקיפות מוגברת כלפי משתמשים שהם ילדים, ולהטמעת אמצעי אבטחה ראויים להגנה על המידע שלהם.
בחודש ספטמבר הקודם העביר הרגולטור האירי את ממצאי חקירתו לתגובת רשויות האכיפה המקבילות באיחוד האירופי, ונתקל במספר הסתייגויות, ביניהן הסתייגות מצד הרגולטור בברלין, שטען שהפעילות במסגרת תבניות אפלות עולה גם כדי הפרה של עקרון צמידות המטרה שב-GDPR, לפיו יש לעשות שימוש במידע רק למטרה לשמה נאסף. בהתאם להוראות ה-GDPR, ה-DPC העביר את הנושא להכרעת מועצת הרגולטורים האירופים להגנת המידע (EDPB), וזו בתורה קבעה כי יש לתקן את ממצאי החקירה בהתאם לעמדת הרגולטור בברלין.
בהתאם לקביעת ה-EDPB, אימץ ה-DPC את הממצאים המתוקנים ועל בסיסם הטיל על טיקטוק את הקנס, במקביל לצו עשה המחייב אותה לתקן את ההפרות בתוך שלושה חודשים. מידע נוסף על כשלי טיקטוק באימות גיל של קטינים נמצא בהודעת ה-EDPB מ-15.9.2023.