Theo quyết định của Ủy ban bảo vệ dữ liệu Ireland (DPC), nền tảng chia sẻ video của Trung Quốc đã bị khiển trách và phạt 345 triệu EUR (379 triệu USD). TikTok cũng phải xử lý dữ liệu vi phạm trong vòng 3 tháng.
Tổng cộng, TikTok bị phát hiện vi phạm 8 điều của GDPR, trong đó có vi phạm tính hợp pháp, công bằng và minh bạch khi xử lý dữ liệu, an toàn dữ liệu, bảo vệ dữ liệu, quyền của chủ thể dữ liệu (bao gồm trẻ vị thành niên) trong việc tiếp nhận thông tin rõ ràng về xử lý dữ liệu.
EU không tìm tháy vi phạm liên quan đến phương thức mà TikTok dùng để xác thực độ tuổi. Dù vậy, TikTok đã không áp dụng các biện pháp có tổ chức và kỹ thuật phù hợp vì không cân nhắc đúng đắn những rủi ro nhất định đối với người dưới 13 tuổi khi truy cập nền tảng. Cài đặt tài khoản mặc định cho phép bất kỳ ai, dù có hay không có tài khoản TikTok, xem nội dung mà người dùng đó đăng tải.
Trong quá trình đăng ký, tài khoản của người dùng trẻ em được mặc định công khai. Điều đó đồng nghĩa video đăng lên tài khoản này, cũng như phần bình luận, Duet, Stitch đều công khai. Tài khoản của một đứa trẻ cũng có thể ghép cặp với người dùng không phải trẻ em chưa xác minh thông qua tính năng Family Pairing nhưng TikTok không xác minh người dùng đó có phải phụ huynh hay người giám hộ của trẻ không. Người dùng đó cũng có thể sử dụng tính năng để kích hoạt tin nhắn trực tiếp cho người dùng trẻ em trên 16 tuổi.
Người phát ngôn TikTok cho biết công ty không đồng ý với quyết định, đặc biệt là với mức độ của số tiền phạt. Theo TikTok, những chỉ trích của DPC tập trung vào tính năng và cài đặt áp dụng 3 năm trước nhưng nền tảng đã thay đổi khá lâu trước khi cuộc điều tra bắt đầu.
Trong phản hồi dài hơn đăng lên website, Elaine Fox - Giám đốc quyền riêng tư TikTok tại châu Âu - nói thêm về các biện pháp mà công ty đã thực hiện để giải quyết những lo ngại như mặc định cài đặt tài khoản của người dùng 13-15 tuổi ở chế độ riêng tư. Bà còn chỉ ra trong năm 2021, TikTok là nền tảng lớn đầu tiên và hiện là duy nhất công bố số lượng các tài khoản nghi của vị thành niên mà họ đã xóa. Ba tháng đầu năm 2023, họ xóa gần 17 riệu tài khoản như vậy trên toàn cầu. TikTok hiện có hơn 134 triệu người dùng tích cực hàng tháng ở châu Âu.
Cuộc điều tra dữ liệu trẻ em trên TikTok của DPC tập trung vào giai đoạn 5 tháng (31/7/2020 đến 31/12/2020) để xem liệu TikTok có làm đúng nghĩa vụ theo GDPR về xử lý dữ liệu cá nhân liên quan đến người dùng trẻ em hay không. Quyết định được thông qua ngày 1/9/2023, như vậy TikTok có thời hạn đến đầu tháng 12 để khắc phục nếu không muốn nhận án phạt khác.
