Czy administrator w swojej analizie ryzyka pod kątem wymagań RODO powinien weryfikować skutki wykorzystania produktu przez użytkowników?

Mikołaj Otmianowski

11.05.2022

Analiza ryzyka, bezpieczeństwo danych, dane osobowe, GDPR, RODO

Blokada Tik Toka po śmierci 10-latki – czy można było uniknąć tragedii?

W ostatnich tygodniach Włochy żyją ogromną tragedią, która mocno wstrząsnęła całym krajem. Na skutek uczestnictwa w wyzwaniu „Blackout Challenge” 10-letnia dziewczynka poniosła śmierć. Winą obarczana jest popularna wśród młodzieży mobilna aplikacja internetowa Tik Tok, na której można znaleźć różnego rodzaju krótkie materiały wideo, tworzone na kształt teledysków muzycznych. Jak z pozoru niewinna i bezpieczna aplikacja przyczyniła się do śmierci tak młodej osoby? Czy można było uniknąć tej tragedii?

Fenomen aplikacji Tik Tok – co to jest i jak działa?

Tik Tok to obecnie jedna z najpopularniejszych aplikacji mobilnych, która z roku na rok zrzesza coraz to szersze grono użytkowników. Jej dynamiczny rozwój rozpoczął się już kilka lat temu. W 2018 roku portal dostępny był w aż 150 krajach i 75 językach. Obecnie liczby te są jeszcze większe. Na czym właściwie polega fenomen aplikacji Tik Tok?

Funkcjonowanie chińskiego portalu społecznościowego jest bardzo podobne do innej znanej aplikacji – Musical.ly. Tik Tok prawie w stu procentach ją zastąpił, lecz zasada działania zmieniła się nieznacznie. Dzięki aplikacji można przeglądać, nagrywać i umieszczać krótkie filmy wideo z dowolnym utworem muzycznym w tle. Bardzo podobny mechanizm można dostrzec w takich aplikacjach jak Snapchat czy Instagram. Tik Tok często nazywany jest globalną siecią wideo, a określenie to jest jak najbardziej trafne. Grono aktywnych użytkowników jest naprawdę liczne, niestety obejmuje ono również dzieci, które nie powinny mieć dostępu do takich aplikacji bez nadzoru dorosłych.

„Blackout Challenge” – zabawa czy śmiertelne wyzwanie?

Od jakiegoś czasu w mediach społecznościowych bardzo popularne stało się „rzucanie” wyzwań i zachęcanie innych do wspólnej zabawy. Na Facebooku, Instagramie i innych portalach społecznościowych można wziąć udział w różnego rodzaju challengach. Niektóre z takich wyzwań pełnią bardzo ważną funkcję – ich zadaniem jest zwrócenie uwagi na pewne problemy, które dotykają współczesnego świata, niestety większość z nich jest kompletnie bezsensowna, a co gorsze – śmiertelnie niebezpieczna, o czym przekonała się 10-letnia Antonella Sicomero z Włoch.

Przyczyną tragedii, do jakiej doszło we Włoszech, było wyzwanie promowane pod nazwą „Blackout Challenge”. Polegało ono samopodduszaniu się aż do utraty przytomności. Antonella zawiązała na swojej szyi pasek, a następnie podjęła się nagrywania filmiku. Dziewczynka dostała ataku serca – pomimo szybkiego przetransportowania jej do szpitala, zmarła.

Śmierć Antonelli Sicomero – czy można było jej uniknąć?

Media na całym świecie rozpisują się o nieumyślnej śmierci 10-latki. Winą obarczani są rodzice, organizator wyzwania oraz sama aplikacja, na którą w związku ze sprawą, nałożono blokadę celem ochrony dzieci dołączających do platformy społecznościowej. Wiele osób zastanawia się, czy można było uniknąć tak ogromnej tragedii oraz kto tak naprawdę jest za nią odpowiedzialny.

Niestety sprawa jest znacznie bardziej złożona, niż mogłoby się wydawać. Pod lupą znalazła się przede wszystkim aplikacja, której regulamin wyraźnie wskazuje na fakt, że z portalu mogą korzystać osoby, które ukończyły 13. rok życia. Jak więc doszło do tego, że 10-letnia dziewczynka uzyskała dostęp do treści promowanych na Tik Toku? Odpowiedź może być następująca – było to zaniedbanie ze strony założycieli portalu. Wiek użytkowników dołączających do aplikacji nie jest w należyty sposób kontrolowany, co, jak można było się przekonać, stanowi ogromne niebezpieczeństwo dla młodszych dzieci.

Wyrok w sprawie – blokada aplikacji

W związku z zaistniałym wydarzeniem organ nadzorczy z zakresu ochrony danych osobowych (Garante per la protezione dei dati personali) 22 stycznia 2021 roku wydał decyzję, zgodnie z którą na aplikację Tik Tok nałożona została blokada, obowiązująca do 15 lutego 2021 roku. Takie działanie miało na celu zaprzestania przetwarzania danych osobowych w przypadku osób przebywających na terytorium Włoch, których wieku nie dało się zweryfikować. Miało to zapobiec podobnym sytuacjom i ochronie dzieci, które wbrew regulaminowi założyły konto, przez co miały pełny dostęp do niestosownych treści, zagrażających ich bezpieczeństwu.

Nakaz uniemożliwił portalowi przetwarzanie danych osobowych, a tym samym dołączanie do społeczności osób, których wiek nie został jednoznacznie określony. O nakazie został poinformowany irlandzki odpowiednik organu nadzorczego (Data Protection Commission) – właśnie w Irlandii znajduje się główna jednostka organizacyjna portalu Tik Tok w sprawie ochrony danych osobowych w Unii Europejskiej.

To już kolejny raz, kiedy Tik Tok musi tłumaczyć się w sprawie ochrony danych osobowych

Co ciekawe, to nie pierwszy raz, kiedy portal Tik Tok znalazł się na świeczniku włoskiego organu nadzorczego, który przygląda się aplikacji od dłuższego czasu. Już kilkakrotnie zarzucano jej nieodpowiednie zarządzanie i dbałość o dane osobowe, głównie ze względu na możliwość łatwego obejścia wymagań rejestracyjnych i zbyt małej kontroli w tej kwestii ze strony twórców.

Postępowanie w sprawie wszelkich zaniedbań i uchybień aplikacji Tik Tok zostało wszczęte już w marcu 2020 roku. Wykazało ono wiele nieprawidłowości w zakresie zakładania i prowadzenia kont na portalu społecznościowym oraz niespełnianie europejskich norm prawnych z zakresu ochrony danych osobowych. Najlepszym przykładem na to, w jak prosty sposób można było dokonać rejestracji przez osoby poniżej 13. roku życia, jest przypadek Antonelli, dla której zakończyło się to niezwykle tragicznie. Niestety grono dzieci, które miało dostęp do nieodpowiednich treści, z pewnością było znacznie szersze. Blokada ze strony włoskiego organu nadzorczego była bardzo odpowiedzialnym posunięciem.

System ochrony – jak zabezpieczyć organizację przed niewłaściwym przetwarzaniem danych osobowych?

Ciekawe czy TIK TOK w swojej analizie ryzyka przetwarzania danych osobowych uwzględnił ryzyko śmierci swojego użytkownika? Ciekawe czy administrator przeprowadził analizę ryzyka pod kątem konsekwencji dla praw i wolności osób, których dane dotyczą? RODO wymusza na administratorze szacowanie ryzyka przetwarzania danych pod kątem ryzyk jakie takie przetwarzanie może wywołać u osób których dane przetwarzamy.

Ryzyka te badamy w kontekście praw i wolności osób, pod kątem nieuprawnionego dostępu, modyfikacji danych, utraty dostępu do danych. Oceniamy przy tym powagę konsekwencji dla osób, których dane dotyczą w przypadku wystąpienia takich sytuacji. Czy, a jeśli już to w jaki sposób powinniśmy badać ryzyko takiego zdarzenia, jakie miało miejsce we Włoszech? Czy analiza ryzyka nie poszłaby tutaj o jeden krok za daleko? Czy Wy byście uwzględnili ryzyko utraty życia użytkownika Waszej aplikacji w swoich analizach? Napisz do mnie co myślisz mikolaj@howtocomplywithgdpr.com.

Opisany przypadek włoskiej 10-letniej dziewczynki powinien być nauczką dla wszystkich firm, które odpowiedzialne są za różnego rodzaju portale społecznościowe. Poprawny system ochrony danych osobowych jest niezmiernie ważny i wszelkie uchybienia w tej kwestii są absolutnie niedopuszczalne. Skala przetwarzania danych osobowych w niektórych branżach bywa naprawdę duża. Aby pomóc sobie w identyfikacji takich lub innych ryzyk warto skorzystać z pomocy w postaci nowoczesnych aplikacji, dzięki którym możliwa będzie rejestracja czynności, analiza ryzyka oraz ocena skutków dla ochrony danych.

Usługi konsultingowe oraz IT

AML

Analiza ryzyka, outsourcing, monitorowanie transakcji, wdrożenia, audyty, KYC, ocena instytucji obowiązanej, szkolenia.

Szczegóły

RODO

Wsparcie Inspektora Ochrony Danych, wdrożenia, audyty roczne oraz doraźne, analiza ryzyka.

Szczegóły

Sygnaliści

Audyty funkcjonującego systemu dokonywania zgłoszeń. Wdrożenia, w tym opracowywanie wzorów procedur, umów, regulaminów oraz innej dokumentacji, szkolenia.

Szczegóły

Wsparcie IT

Audyty IT, administracja, analizy i wdrożenia, obsługa, inne

Szczegóły