Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
TikTok Inc., TikTok Technology Limited en
TikTok Information Technologies UK Limited
p.a. Brinkhof Advocaten
[VERTROUWELIJK]
Grote Bickersstraat 74-78
1013 KS AMSTERDAM

Contactpersoon
[VERTROUWELIJK]

Onderwerp
besluit tot het opleggen van een bestuurlijke boete

Geachte [VERTROUWELIJK],

De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten aan TikTok Inc, gevestigd in Californië (de Verenigde Staten), een bestuurlijke boete van € 750.000,-- op te leggen. De AP stelt vast dat TikTok Inc. gedurende de periode van 25 mei 2018 tot en met 28 juli 2020 haar privacybeleid aan Nederlandse gebruikers – waaronder kinderen – heeft verstrekt in uitsluitend de Engelse taal. Dit is in strijd met artikel 12, lid 1 van de Algemene verordening gegevensbescherming (hierna: AVG).

[VERTROUWELIJK]. De AP zal de Ierse SA vragen om het onderzoek af te ronden en een (definitief) besluit te nemen. De AP zal in haar rol als betrokken toezichthoudende autoriteit en in haar rol als om bijstand verzoekende autoriteit, betrokken blijven bij de afronding van deze zaak en totstandkoming van het definitief besluit.

Hierna wordt het besluit nader toegelicht. Na de inleiding in hoofdstuk 1, wordt in hoofdstuk 2 ingegaan op de bevoegdheid van de AP om handhavend op te treden. Hoofdstuk 3 beschrijft vervolgens het wettelijk kader. In hoofdstuk 4 worden de belangrijkste feiten in deze zaak op een rij gezet. In hoofdstuk 5 beoordeelt de AP de feiten op grond van het wettelijk kader en concludeert de AP dat TikTok Inc. artikel 12, lid 1 van de AVG heeft overtreden. In hoofdstuk 6 wordt de hoogte van de bestuurlijke boete gemotiveerd. Ten slotte bevat hoofdstuk 7 het dictum en de rechtsmiddelenclausule.

2/29

1. Inleiding 1.1 Betrokken rechtspersoon

1. TikTok Inc. is gevestigd te California, Verenigde Staten.1

2. TikTok Inc. maakt deel uit van de Bytedance-bedrijvengroep (hierna: Bytedance) waarvan Bytedance Ltd. de moedermaatschappij is.2 Bytedance beheert wereldwijd een reeks contentplatforms waar mensen geïnformeerd, onderwezen, vermaakt en geïnspireerd worden.3 In mei 2017 lanceerde Bytedance de TikTok-app.4 Deze app stelt gebruikers in staat om korte video’s te maken, te bewerken en online te delen. In november 2017 verwierf Bytedance ‘musical.ly’, een contentplatform-app vergelijkbaar met TikTok. Na de overname van musical.ly door Bytedance, werd musical.ly omgedoopt tot TikTok en in mei 2019 is de bedrijfsnaam van musical.ly Inc. gewijzigd in TikTok Inc.5

1.2 Procesverloop

3. De AP heeft een ambtshalve onderzoek ingesteld naar de verwerking van persoonsgegevens door TikTok Inc. [VERTROUWELIJK]. Dit onderzoek heeft ertoe geleid dat de AP op 1 oktober 2020 een rapport van bevindingen heeft vastgesteld (hierna: het onderzoeksrapport).

4. [VERTROUWELIJK].

5. [VERTROUWELIJK].

6. [VERTROUWELIJK] wordt in het onderzoeksrapport geconcludeerd dat TikTok Inc. in de periode van 25 mei 2018 tot 29 juli 2020 artikel 12, lid 1 van de AVG heeft overtreden door kinderen niet in begrijpelijke taal te informeren over de verwerking van persoonsgegevens.

7. [VERTROUWELIJK].

8. Bij brief en e-mail van 2 oktober 2020 heeft de AP aan TikTok Information Technologies UK Limited (hierna: TikTok UK) een voornemen tot handhaving jegens TikTok Inc. verzonden alsmede het daaraan ten grondslag gelegde onderzoeksrapport en de onderliggende stukken. TikTok UK en TikTok Inc. zijn daarbij in de gelegenheid gesteld hun zienswijze op het onderzoeksrapport en de onderliggende stukken kenbaar te maken.

1 TikTok INc, 10100 Venice Blvd, Suite 401, Culver City, CA 90232, USA. 2 Dossierstuk 9, antwoord op vraag 1. 3 Dossierstuk 9, antwoord op vraag 1. 4 Dossierstuk 9, antwoord op vraag 1. 5 Dossierstuk 9, antwoord op vraag 1.

3/29

9. Op 11 november 2020 hebben TikTok Inc., TikTok UK en TikTok Technology Limited (hierna: TikTok Ierland) een schriftelijke zienswijze ingediend. TikTok6 heeft in die zienswijze de hiervoor genoemde uitkomsten en conclusies van het onderzoeksrapport bestreden. Daarnaast heeft TikTok hierin betoogd dat zij per 29 juli 2020 een hoofdvestiging in Ierland heeft als bedoeld in artikel 4 onder 16 van de AVG en de AP als gevolg daarvan niet bevoegd is om handhavend op te treden tegen TikTok.

10. Op 20 november 2020 heeft een zienswijzezitting plaatsgevonden waarbij TikTok haar schriftelijke zienswijze mondeling nader heeft toegelicht.

11. TikTok heeft in haar schriftelijke zienswijze en tijdens de zienswijzezitting tevens aangekondigd om begin januari 2021 een aantal aanvullende maatregelen te hebben uitgerold, teneinde de bescherming van tieners onder de 16 jaar te versterken7 [VERTROUWELIJK]. Het betreft de volgende maatregelen: - ‘Account op privé’ wordt de standaardinstelling voor gebruikers onder de 16 jaar. Een 'privé'-account houdt in dat andere gebruikers de video’s van de accounthouders niet kunnen zien, tenzij deze accounthouders andere gebruikers toestaan hen te volgen. TikTok voert deze wijziging door voor zowel bestaande gebruikers als nieuwe gebruikers onder de 16 jaar. - de functie ‘ Uw account aan anderen voorstellen’ wordt standaard uitgeschakeld voor zowel bestaande als nieuwe gebruikers onder de 16 jaar. - de mogelijkheid om te reageren op video’s wordt voor alle bestaande en nieuwe gebruikers onder de 16 jaar standaard ingesteld op ‘Vrienden’. De optie ‘Iedereen’ wordt voor deze gebruikers uitgeschakeld. - de functies ‘Duet’ en ‘Stitch’ zijn voor gebruikers onder de 16 jaar niet meer beschikbaar. - Downloads worden uitsluitend toegestaan voor video’s die zijn gemaakt door gebruikers van 16 jaar en ouder. - de Family Pairing functie is uitbreid met een optie die ouders in staat stelt ook de privacy instellingen van kinderen te beheren. - er wordt een vereenvoudigde in-app-rapportagefunctie gecreëerd, waardoor het voor gebruikers gemakkelijker wordt om accounts te markeren waarvan zij denken dat ze behoren tot gebruikers onder de 13 jaar.

12. Op 21 januari 2021 heeft TikTok aan de AP aanvullende informatie overgelegd ter onderbouwing van haar stelling dat TikTok Ierland vanaf 29 juni 2020 kwalificeert als hoofdvestiging conform artikel 4, aanhef onder 16 van de AVG.

2. Bevoegdheid AP Inleiding

6 Tenzij anders aangegeven, hebben verwijzingen naar “TikTok” betrekking op “TikTok Inc, TikTok UK en TikTok Ierland. 7 Op 13 januari 2021 heeft TikTok haar wijzigingen in de standaardinstellingen van TikTok publiekelijk bekend gemaakt.

4/29

13. Artikel 55, lid 1 van de AVG bepaalt dat elke toezichthoudende autoriteit de competentie heeft op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. Artikel 56, lid 1 van de AVG bepaalt echter dat de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent is op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60 van de AVG.

14. Artikel 4, aanhef onder 16 van de AVG definieert het begrip hoofdvestiging als volgt: “met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd”

15. In de Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit8 (Richtsnoeren competentie) wordt op pagina 7 gesteld dat overweging 36 van de AVG kan helpen ter verduidelijking van de belangrijkste factor die zal worden gebruikt bij het bepalen van de hoofdvestiging indien het criterium van de centrale administratie niet geldt. Overweging 36 van de AVG bepaalt: “Welke vestiging de hoofdvestiging van een verwerkingsverantwoordelijke in de Unie is, dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten, met het oog op het nemen van de kernbesluiten over de doelstellingen van en de middelen voor de verwerking via bestendige verhoudingen.”

16. Advies 8/2019 over de competentie van de toezichthoudende autoriteit in het geval van een wijziging in de omstandigheden betreffende de hoofdvestiging of de enige vestiging9 gaat in op de vraag welke toezichthoudende autoriteit bevoegd is in geval van een wijziging in omstandigheden met betrekking tot de hoofdvestiging gedurende lopende onderzoeken. Dit Advies is in onderhavige zaak relevant nu TikTok stelt dat sprake is van een wijziging in omstandigheden.10

17. Advies 8/2019 stelt, samengevat, dat in geval van voortdurende inbreuken de bevoegdheid kan overgaan naar een andere toezichthoudende autoriteit totdat de leidende toezichthoudende autoriteit een besluit heeft genomen. Advies 8/2019 bepaalt dat de verplaatsing van een hoofdvestiging vanuit een derde land naar de EU tijdens de procedure de mogelijkheid biedt aan verwerkingsverantwoordelijken om gebruik te maken van de “een loket”regeling. 11

8 Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker, 5 april 2017, Groep gegevensbescherming artikel 29. 9 Advies 8/2019 over de competentie van de toezichthoudende autoriteit in het geval van een wijziging in de omstandigheden betreffende de hoofdvestiging of de enige vestiging, 9 juli 2019, European Data Protection Board. 10 Zie randnummer 9 van dit besluit. 11 Zie randnummer 16 en 30 van Advies 8/2019.

5/29

18. Een wisseling van de wacht bij de leidende toezichthoudende autoriteiten betekent niet dat de oorspronkelijke leidende toezichthoudende autoriteit geen bevoegdheid had om op te treden. De handelingen verricht door deze oude leidende toezichthoudende autoriteit en de hierbij verkregen informatie en bewijs blijven geldig en kunnen door de nieuwe leidende toezichthoudende worden gebruikt.12 Bovendien onderstreept Advies 8/2019 dat de samenwerkingsprocedure genoemd in artikel 60 van de AVG van toepassing is in geval van een wijziging van leidende toezichthoudende autoriteit. Dit betekent dat de oude (leidende) toezichthoudende autoriteit op basis van de in artikel 60 van de AVG beschreven procedures betrokken blijft bij de totstandkoming van een definitief besluit.13

19. Daarnaast wijst Advies 8/2019 erop dat forum shopping voorkomen moet worden en dat het daarom aan de verwerkingsverantwoordelijke is om aan te tonen dat de verplaatsing van de hoofdvestiging daadwerkelijk heeft plaatsgevonden. Het concept van de hoofdvestiging geeft op zich al aan dat een tijdelijke of louter bureaucratische stap van de onderneming niet volstaat om de hoofdvestiging aan te wijzen, maar dat het om een echte stap met een lange termijndoel gaat. Het is aan de toezichthoudende autoriteiten om te bepalen of voldaan is aan de criteria, teneinde het risico te verminderen dat verwerkingsverantwoordelijken kunstmatig van hoofdvestiging veranderen met het oog op wijziging van de voor de behandeling van de zaak competente autoriteit.14

Zienswijze TikTok

20. TikTok stelt in haar schriftelijke zienswijze dat de verwerkingsverantwoordelijkheid op 29 juli 2020 is overgedragen van TikTok Inc. naar TikTok Ierland en TikTok UK en dat TikTok Ierland kwalificeert als hoofdvestiging conform artikel 4, aanhef onder 16 van de AVG. 15 TikTok neemt het standpunt in dat als gevolg hiervan de bevoegdheid om TikTok te onderzoeken vanaf 29 juli 2020 bij de Ierse SA ligt en niet bij de AP. TikTok baseert zich hierbij op Advies 8/2019.

21. TikTok stelt verder dat de AP in het onderzoeksrapport vaststelt dat TikTok nog niet heeft aangetoond dat TikTok Ierland kwalificeert als hoofdvestiging, maar ook geen bewijs naar voren brengt dat de AP zelf bevoegd is om op te treden. TikTok stelt in haar schriftelijke zienswijze dat de AP enkel refereert aan de correspondentie tussen TikTok en de Ierse SA en met name aan de brief van 13 augustus 2020 van de Ierse SA aan TikTok.

22. TikTok constateert in haar schriftelijke zienswijze verder dat de AP in het onderzoeksrapport geen rekening heeft gehouden met het uitgebreide antwoord dat TikTok op 30 september 2020 heeft gestuurd aan de Ierse SA. Volgens TikTok bevat dit antwoord aanvullend, gedetailleerd en sterk bewijs dat de hoofdvestiging van TikTok zich in Ierland bevindt per 29 juli 2020.

12 Zie randnummer 21 van Advies 8/2019. 13 Zie randnummer 24 van Advies 8/2019. 14 Zie randnummer 26 van Advies 8/2019. 15 TikTok heeft per brief aan de Ierse SA op 30 september 2020 aangegeven dat haar Ierse hoofdvestiging is gebaseerd op de het feit dat deze vestiging beslissingen neemt en deze implementeert, en niet omdat deze vestiging moet worden aangemerkt als plaats waar haar centrale administratie in de Unie is gelegen.

6/29

23. TikTok concludeert in haar schriftelijke zienswijze dat TikTok, rekening houdend met alle correspondentie met de Ierse SA, voldoende heeft aangetoond dat TikTok Ierland en TikTok UK kunnen worden aangemerkt als gezamenlijk verwerkingsverantwoordelijk en TikTok Ierland tevens als hoofdvestiging geldt conform artikel 4, aanhef onder 16 van de AVG vanaf 29 juli 2020. TikTok stelt dat de AP niet bevoegd is en stelt dat op basis van de AVG en Advies 08/2019 de lopende zaken/procedures moeten worden overgedragen aan de Ierse SA.

Overwegingen AP

24. Allereerst merkt de AP op dat TikTok bij aanvang van het onderzoek niet met een hoofdvestiging conform artikel 4, aanhef onder 16 was gevestigd in de EU. In die periode had TikTok Inc. als verwerkingsverantwoordelijke TikTok UK aangewezen als haar vertegenwoordiger conform artikel 27 van de AVG. Artikel 56, lid 1 van de AVG was derhalve niet van toepassing bij aanvang van het onderzoek en daarmee was de AP bevoegd op basis van artikel 55, lid 1 van de AVG.

25. Zoals hierboven beschreven stelt TikTok dat deze situatie op 29 juli 2020 is veranderd. TikTok stelt dat zij zich met een hoofdvestiging heeft gevestigd in Ierland en vanaf dat moment daardoor niet de AP maar de Ierse SA bevoegd is. Hierna zal eerst worden ingegaan op de vraag of TikTok heeft aangetoond dat zij zich heeft gevestigd in Ierland met een hoofdkantoor. Daarna worden de gevolgen beschreven met betrekking tot de bevoegdheid van de AP om als leidende toezichthoudende autoriteit op te treden.

Hoofdvestiging

26. Uit randnummer 13 tot en met 18 van dit besluit blijkt dat TikTok dient aan te tonen dat sprake is van een daadwerkelijke hoofdvestiging die is gecreëerd met een lange termijndoel. Het hoofdkantoor dient haar beheersactiviteiten effectief en daadwerkelijk uit te voeren, met het oog op het nemen van de kernbesluiten over de doelstellingen van en de middelen voor de verwerking via bestendige verhoudingen. Daarbij mag geen sprake zijn van een tijdelijke of louter bureaucratische stap of het kunstmatig veranderen van de hoofdvestiging met als doel om de voor de behandeling van de zaak competente autoriteit te wijzigen.

27. Zoals gesteld in het onderzoeksrapport was de AP van mening dat TikTok met de door haar verstrekte informatie tot en met 7 augustus 2020 nog onvoldoende had aangetoond dat TikTok een hoofdkantoor had gevestigd in Ierland. De Ierse SA heeft in dat kader bij brief van 13 augustus 2020 een groot aantal aanvullende vragen gesteld aan TikTok om meer duidelijkheid te krijgen op verschillende aspecten.16

28. TikTok heeft op 30 september 2020 aanvullende informatie verstrekt aan de Ierse SA als antwoord op voornoemde brief van 13 augustus 2020. De AP heeft een deel van deze aanvullende informatie via de

16 Zie dossierstuk 37.

7/29

Ierse SA ontvangen op 7 oktober 2020. Voor een ander deel had de Ierse SA geen toestemming gekregen van TikTok om deze informatie te verstrekken aan andere toezichthoudende autoriteiten (waaronder de AP) zonder dit eerst aan haar voor te leggen in verband met het in de ogen van TikTok zeer bedrijfsvertrouwelijke karakter van dit deel van de aan de Ierse SA overgelegde documenten. De AP heeft TikTok alsnog verzocht deze bedrijfsgevoelige documenten te verstrekken aan de AP. Op 25 januari 2021 heeft TikTok alle documenten aan de AP overgedragen.

29. Met de op 7 oktober 2020 en 25 januari 2021 verstrekte informatie heeft TikTok aangetoond dat sprake is van een daadwerkelijke hoofdvestiging in Ierland met een lange termijndoel. Hiertoe overweegt de AP het volgende.

30. Eén van de belangrijkste constateringen van de AP in augustus 2020 was dat TikTok weliswaar op papier stelde dat haar kantoor in Ierland beslissingen nam en de bevoegdheid had om deze beslissingen te binnen de EU te implementeren, maar dat er nog veel onduidelijkheden bestonden over tal van hieraan gerelateerde onderwerpen. Bovendien kon uit het overgelegde materiaal niet worden opgemaakt dat sprake was van bestendige en duurzame afspraken binnen het concern en dat de Ierse vestiging over voldoende en bekwame mensen en middelen zou beschikken om haar rol als hoofdvestiging goed te kunnen vervullen. In augustus 2020 kon niet worden uitgesloten dat TikTok een slechts een bureaucratische, kunstmatige stap had gezet met als doel om de behandeling van de voor deze zaak competente autoriteit te wijzigen (forum shopping).

31. Uit de door TikTok op 25 januari 2021 overgelegde notulen van het bestuur van de Ierse vestiging van TikTok blijkt dat de veranderingen binnen het TikTok concern met betrekking tot het verschuiven van de verwerkingsverantwoordelijkheid voor EU betrokkenen en het creëren van een hoofdkantoor in Ierland voortkomen uit een al langer lopend project. In de periode vanaf met name eind mei 2020 zijn in dit kader verschillende concrete initiatieven gestart en besluiten genomen om de organisatie voor te bereiden op de nieuwe structuur. Uit deze notulen van het bestuur van de Ierse vestiging blijkt dat daadwerkelijk wordt aangestuurd op een blijvende overgang en dat in dit kader de hiervoor benodigde besluiten worden genomen.

32. Daarbij blijkt uit notulen van de Data Protection Steering Committee (DPSC)17 dat dit besluitvormingsorgaan vanaf 29 juli 2020 daadwerkelijk belangrijke zaken bespreekt met betrekking tot gegevensbescherming en hierover besluiten neemt. Het gaat daarbij om zaken die direct raken aan de bescherming van kinderen. Ook blijkt uit verschillende overgelegde documenten dat de Ierse vestiging daadwerkelijk verantwoordelijk is voor de implementatie van genomen besluiten en verantwoordelijk is voor de uitvoering van enkele centrale processen zoals het beoordelen van verzoeken van betrokkenen en het onderzoeken en melden van datalekken.

17 Volgens de eerder door TikTok overgelegde overeenkomsten (intra concern) is dit besluitvormingsoverleg opgericht door de gezamenlijke verwerkingsverantwoordelijken om belangrijke zaken op het gebied van gegevensverwerking bespreken en hierover beslissingen nemen.

8/29

33. Daarnaast blijkt uit door TikTok overgelegde overzichten dat TikTok Ierland een groot aantal (honderden) personeelsleden heeft geworven in de lente en zomer van 2020. Juist op dit punt bestonden twijfels nu de Ierse vestiging in Ierland begin 2020 weinig medewerkers in dienst had. De AP had twijfels of zij in staat zou zijn om in tijden van een pandemie op grote schaal voldoende kwaliteit aan personeel aan te nemen. Voldoende en kwalitatief hoogwaardig personeel is voor een groot platform als TikTok immers essentieel om daadwerkelijk te kunnen functioneren als hoofdkantoor. Ondanks geldende COVID-beperkingen is TikTok Ierland blijkens deze overgelegde overzichten toch in staat gebleken een groot aantal vaste en op papier bekwame medewerkers aan te trekken. Hierdoor is de AP van mening dat de vestiging in Ierland over voldoende menskracht beschikt om daadwerkelijk invulling te kunnen geven aan haar taak als hoofdvestiging.

34. Met deze aanvullende documenten in combinatie met de al eerder op schrift verstrekte overeenkomsten tussen rechtspersonen binnen het TikTok concern stelt de AP vast dat er een hoofdkantoor in Ierland is gevestigd en dat niet slechts sprake is van een bureaucratische en kunstmatige stap met enkel als doel om de bevoegdheid van leidende toezichthoudende autoriteit te doen veranderen (forum shopping).

35. Op grond van het voorgaande stelt de AP vast dat TikTok heeft aangetoond dat zij zich met een hoofdkantoor volgens artikel 4, aanhef onder 16 heeft gevestigd in Ierland op 29 juli 2020.

Bevoegdheid

36. Uit Advies 8/2019 volgt dat de competentie om op te treden als leidende toezichthoudende autoriteit bij voortdurende inbreuken overgaat van de AP naar de Ierse SA op het moment dat TikTok heeft aangetoond dat zij zich met een hoofdkantoor heeft gevestigd in Ierland en indien er nog geen (definitief) besluit is genomen door de AP. Zoals hiervoor beschreven heeft TikTok met de op 7 oktober 2020 en 25 januari 2021 verstrekte aanvullende informatie aangetoond dat zij zich met een hoofdkantoor heeft gevestigd in Ierland op 29 juli 2020. Deze datum beschouwt de AP daarmee de datum waarop de competentie is overgegaan van de AP naar de Ierse SA [VERTROUWELIJK].

37. [VERTROUWELIJK].

[VERTROUWELIJK]. 38. [VERTROUWELIJK].

39. [VERTROUWELIJK].

[VERTROUWELIJK]. 40. [VERTROUWELIJK].

41. [VERTROUWELIJK].

9/29

[VERTROUWELIJK]. 42. [VERTROUWELIJK].

43. [VERTROUWELIJK].

[VERTROUWELIJK]. 44. Voor wat betreft de in het onderzoeksrapport beschreven overtreding van artikel 12, lid 1 van de AVG in de periode van 25 mei 2018 tot en met 28 juli 2020 stelt de AP vast dat sprake is van een overtreding die vóór 29 juli 2020 is beëindigd. Deze overtreding valt daarmee buiten de reikwijdte van Advies 8/2019.18 De AP blijft voor deze overtreding daarom bevoegd om een besluit te nemen en een sanctie op te leggen.

45. [VERTROUWELIJK].

46. In hoofdstuk 3 wordt het relevante wettelijke kader uiteengezet. In hoofdstuk 4 komen de relevante feiten en omstandigheden aan de orde. Hoofdstuk 5 bevat de juridische beoordeling. In hoofdstuk 6 wordt de hoogte van de bestuurlijke boete gemotiveerd. Ten slotte bevat hoofdstuk 7 het dictum en de rechtsmiddelenclausule.

3. Wettelijk kader 3.1 Reikwijdte AVG

47. Ingevolge artikel 2, lid 1 van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

48. Ingevolge artikel 3, lid 1 van de AVG is deze verordening van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

49. Ingevolge artikel 4 van de AVG wordt, voor zover hier van belang, voor de toepassing van deze verordening verstaan onder: ‘1) “persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”) (…); 2) “verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés (…); (…)

18 Zie randnummer 16 van Advies 8/2019.

10/29

7) “verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (…).

3.2 Beginselen: rechtmatigheid, behoorlijkheid en transparantie & gegevensminimalisatie

50. Artikel 5 van de AVG bevat de beginselen inzake de verwerking van persoonsgegevens.

51. Ingevolge artikel 5, lid 1, aanhef en onder a van de AVG moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”).

3.3 Transparantie en informatieplicht

52. Artikel 12, lid 1 van de AVG bepaalt, voor zover hier van belang: ‘De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in artikelen 13 (…) bedoelde informatie (…) in verband met de verwerking in een beknopte, transparante en gemakkelijk toegankelijke vorm en in een duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen verstrekt.(…)’

53. Artikel 13, lid 1 van de AVG bepaalt: ‘Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd; e) in voorkomend geval, de ontvangers of categorieën van ontvangers van persoonsgegevens; f) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Europese Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.’

11/29

4. Feiten 54. In dit hoofdstuk worden de voor het besluit relevante feiten opgesomd. Eerst zal in paragraaf 4.1 een beschrijving op hoofdlijnen worden gegeven van de TikTok-app. Paragraaf 4.2 gaat in op de wijze waarop gebruikers een account aanmaken en video’s plaatsen via de TikTok-app en de wijze waarop het privacybeleid van TikTok Inc. aan gebruikers werd aangeboden. In paragraaf 4.3 komen kort de (onderliggende) verwerkingen van persoonsgegevens aan de orde die plaatsvinden in het kader van het gebruik van de TikTok-app door gebruikers. Tot slot wordt in paragraaf 4.4 uiteengezet dat een groot aantal kinderen gebruik maakt van de TikTok-app.

4.1 Algemene beschrijving van de TikTok-app

55. TikTok is een platform dat gebruikers via een app in staat stelt om korte video’s te maken, te bewerken en online te delen. De TikTok-app stelt gebruikers in staat om foto’s en video’s te uploaden van hun smartphones en geeft hen de mogelijkheid filters, stickers, effecten en muziek toe te voegen. TikTok heeft zich in de loop der tijd ontwikkeld tot een platform waar gebruikers zich met name profileren via het plaatsen van creatieve en humoristische korte video’s. Hiermee onderscheidt TikTok zich van andere sociale media platforms zoals Instagram.

56. Naast het maken, bewerken en plaatsen van korte video’s kunnen gebruikers via de TikTok-app ook sociale contacten aangaan en onderhouden. Zo kunnen gebruikers opmerkingen plaatsen bij video’s van anderen, video’s liken, andere gebruikers volgen, vrienden worden met andere gebruikers en berichten zenden en ontvangen van andere gebruikers, etc. Verder is het bijvoorbeeld ook mogelijk om live stream verbindingen op te zetten. De TikTok-app kan dan ook beschouwd worden als social media app.

57. Een belangrijk onderdeel in de TikTok-app is de ‘voor jou’ pagina. Dit is een pagina waar de gebruiker voor hem of haar relevante video’s via een voortdurende feed aangeboden krijgt. Welke video’s precies worden aangeboden via deze feed verschilt per gebruiker en is afhankelijk van zijn of haar voorkeuren. Het algoritme dat is ontwikkeld door TikTok bepaalt welke video’s getoond worden. Daarbij blijkt uit gesprekken met adverteerders die actief zijn op het TikTok platform dat vooralsnog alleen TikTok weet hoe dit algoritme precies werkt en welke factoren exact bepalend zijn.

58. Bovenstaande functionaliteiten zijn allen te gebruiken via de TikTok-app. De TikTok-app kan via de verschillende app-stores gratis gedownload worden. Het verdienmodel van TikTok is, zoals bij vele sociale media platforms, om via (gepersonaliseerde) advertenties inkomsten te genereren. Uit onderzoek is gebleken dat TikTok ten tijde van de vaststelling van het onderzoeksrapport nog geen gepersonaliseerde advertenties als product aanbood aan adverteerders waar het gaat om Nederlandse gebruikers. Dit product was al wel beschikbaar voor grotere Europese markten als Frankrijk, Italië, Spanje en het VK.

12/29

4.2 Registratie van gebruikers en het aanbieden van privacybeleid aan gebruikers

Aanmeldproces

59. Nadat een gebruiker de TikTok-app heeft gedownload in een app-store is het direct mogelijk om de video’s die zijn gedeeld via het TikTok platform te bekijken. Ook krijgt de gebruiker via de ‘voor jou’ pagina video’s aangeboden via een feed. Verdere functionaliteiten in de app zijn (nog) niet beschikbaar. Kort gezegd kunnen niet geregistreerde gebruikers dus wel video’s bekijken maar geen video’s plaatsen en sociale contacten hierover aangaan via het TikTok platform.

60. Het aanmaken van een TikTok account is een noodzakelijk vereiste om video’s te maken, bewerken en online te plaatsen en gebruik te maken van de interactieve mogelijkheden van de TikTok-app.

61. De AP heeft als onderdeel van een online test een account aangemaakt om zicht te krijgen op de wijze waarop gebruikers zich registreren in de TikTok-app en welke gegevens zij daarbij moesten verstrekken. Kort gezegd moet een gebruiker de volgende vier stappen doorlopen.19

62. Allereerst dient een gebruiker aan te geven via welke methode hij of zij het registratieproces wil doorlopen, met behulp van een telefoonnummer, e-mailadres of ander bestaand social media account. De gebruiker wordt er in de Nederlandse taal op gewezen dat hij of zij akkoord gaat met de gebruikersvoorwaarden en het privacybeleid van TikTok. De gebruiker kan klikken op het woord gebruikersvoorwaarden en privacybeleid om deze documenten te openen.

63. Daarna dient de gebruiker via een tandwiel aan te geven wat zijn of haar geboortejaar is. Indien de gebruiker een geboortejaar invult waaruit blijkt dat de persoon jonger dan 13 jaar is, krijgt de gebruiker een rode balk te zien met de tekst “sorry, het lijkt erop dat je niet in aanmerking komt voor TikTok, maar bedankt dat je ons hebt opgezocht”. Tot begin 2020 verdween deze rode balk na ongeveer 5 seconden en kwam de gebruiker weer in het scherm om via een tandwiel zijn of haar geboortejaar in te vullen. Op dat moment kon de gebruiker een ander geboortejaar invoeren om alsnog door deze stap heen te komen. Begin 2020 heeft TikTok een tijdelijke blokkade ingevoerd indien een gebruiker aangeeft jonger dan 13 jaar te zijn. 20

64. Als derde stap dient de gebruiker zijn of haar emailadres of telefoonnummer in te vullen en moet de gebruiker een wachtwoord instellen. In het scherm staat wederom dat de gebruiker akkoord gaat met de gebruikersvoorwaarden en het privacybeleid van TikTok.

65. Tot slot controleert TikTok als vierde stap dat de gebruiker geen robot is door een manuele test voor te leggen (met de muis puzzelstukjes naar de juiste plaats schuiven). Na het doorlopen van deze stap

19 Verwezen wordt naar dossierstuk 1 en 7 voor een volledige beschrijving van het proces dat Nederlandse gebruikers dienen te doorlopen om een account aan te maken en daarmee video’s online te kunnen plaatsen. 20 Uit de online test van de AP van 17 december 2019 blijkt dat deze blokkade nog niet was geïmplementeerd. In de online test van de AP van 25 februari 2020 was dit wel het geval.

13/29

is een gebruiker aangemeld en kan hij of zij gebruik maken van de functionaliteiten van de TikTok-app, zoals het plaatsen van video’s en het aangaan van sociale contacten.

Privacybeleid in Engelse taal

66. Uit de online tests die de AP in december 2019 en februari 2020 heeft uitgevoerd, is gebleken dat het privacybeleid tijdens het hiervoor beschreven aanmeldproces in de Engelse taal werd getoond. Dit was ook het geval wanneer een gebruiker was aangemeld en het privacybeleid in de TikTok-app wilde raadplegen.21 In antwoord op de vraag van de AP hoe TikTok Nederlandse kinderen informeert over de verwerking van hun persoonsgegevens heeft TikTok op 1 mei 2020 verklaard dat zij dit onder meer via haar privacybeleid doet. Het door TikTok aan de AP verstrekte privacybeleid betrof een Engelstalige versie.22

67. TikTok heeft de AP op 26 juni 2020 laten weten dat zij met ingang van 29 juli 2020 haar privacybeleid aan Nederlandse betrokkenen – en daarmee ook Nederlandse kinderen onder de 16 jaar – in de Nederlandse taal zal verstrekken. Zoals TikTok ook in haar schriftelijke zienswijze heeft opgemerkt heeft TikTok daarnaast met ingang van 29 juli 2020 een apart document opgesteld dat in taalgebruik en vorm aansluit bij (Nederlandstalige) kinderen.23

68. Op grond van het voorgaande stelt de AP vast dat TikTok Inc. gedurende de periode van 25 mei 2018 tot en met 28 juli 2020 haar privacybeleid aan Nederlandse gebruikers – waaronder kinderen – heeft verstrekt in uitsluitend de Engelse taal.

4.3 Verwerking van persoonsgegevens door TikTok

69. TikTok verwerkt als sociaal media platform een groot aantal persoonsgegevens van zowel geregistreerde als niet geregistreerde gebruikers. Zo verwerkt TikTok bijvoorbeeld de volgende categorieën van persoonsgegevens om gebruikers in staat te stellen video’s te delen en hierover sociale interactie aan te gaan via het TikTok platform: User ID, name/nickname, user settings, user generated content (e.g. videos, messages, comments), IP address, mobile carrier, time zone settings, App version, device model, device system, network type, device ID, screen resolution, operating system, access tokens, appID, appsecret, code, redirected URL (for social login/sharing).24

70. Bovenstaande categorieën van persoonsgegevens zijn door TikTok genoemd in haar register van verwerkingen. In dit register heeft TikTok voor alle door haar geïdentificeerde verwerkingsdoelen

21 Dossierstuk 1 en dossierstuk 7. 22 Dossierstuk 15, antwoord op vraag 10 en bijlage 5. De tekst van het privacybeleid die TikTok aan de AP heeft overgelegd betreft de versie die laatstelijk is geüpdatet in oktober 2019. Echter, zoals blijkt uit het antwoord op vraag 11 heeft TikTok de voorwaarden uit het privacybeleid in de periode vanaf 25 mei 2018 – 29 juli 2020 niet substantieel aangepast. 23 Dossierstuk 33 en randnummer 160 van het onderzoeksrapport. 24 Dossierstuk 15, bijlage 3.

14/29

beschreven welke persoonsgegevens TikTok verwerkt inclusief aanvullende kenmerken zoals grondslag, bewaartermijn, beveiligingsmaatregelen en land.25

4.4 Gebruik van de TikTok-app door kinderen

71. TikTok is een social media app die populair is bij en gebruikt wordt door kinderen. Uit onderzoek blijkt dat een grote groep Nederlandse kinderen jonger dan 16 jaar de TikTok-app gebruikt en dat een deel van deze groep jonge kinderen een leeftijd rondom 12 jaar hebben (en in sommige gevallen jonger).

72. Zo blijkt uit een indicatief onderzoek van eind 2019 van een onderzoeksbureau, dat daarover heeft verklaard aan de AP, dat TikTok gebruikt wordt door kinderen en dan met name rondom de leeftijd van 12 jaar.26 Daarbij schatte dit onderzoeksbureau in dat ongeveer 830.000 Nederlandse kinderen jonger dan 18 jaar gebruik maken van TikTok. Hieronder is de tabel weergegeven – gebaseerd op de onderzoeksresultaten van eind 2019 van voornoemd onderzoeksbureau – waaruit blijkt dat kinderen in de leeftijd vanaf 6 jaar tot met 18 jaar de TikTok-app gebruikten en dat TikTok verhoudingsgewijs met name gebruikt werd door kinderen in de leeftijd rondom 12 jaar.27

25 Zo beschrijft TikTok in haar verwerkingsregister onder meer het volgende doel: “To enable users to share user content and interact with other users”. Het gaat voor dit besluit te ver om alle achttien door TikTok aangevoerde verwerkingsdoelen tot in detail te beschrijven. In dit besluit wordt volstaan met een verwijzing naar het door TikTok verstrekte verwerkingsregister en gegevensbeschermingseffectbeoordeling, zie bijlage 3 bij dossierstuk 15 voor het verwerkingsregister en bijlage 4 bij dossierstuk 15 voor de Gegevensbeschermingseffectbeoordeling. 26 Dossierstuk 24. 27 Deze uitkomsten worden bevestigd in gesprekken die de AP heeft gevoerd met verschillen partijen die in deze markt actief zijn, zie dossierstuk 25, p. 2, dossierstuk 26, p.2 en dossierstuk 36.

15/29

73. Daarnaast blijkt uit onderzoek dat TikTok in de laatste maanden, ten tijde van de COVID-19 pandemie, sterk aan populariteit heeft gewonnen, onder ook oudere gebruikers. De onderstaande grafiek die gebaseerd is op officiële TikTok cijfers in mei 2020 illustreert dit28:

28 De marketeer die deze cijfers gepubliceerd heeft merkt over deze cijfers op dat hij kan constateren dat tegenwoordig niet alleen kinderen meer actief zijn op de TikTok-app : “Je zit in Nederland op 7 miljoen app downloads waarvan er 3,5 miljoen unieke gebruikers zijn in Nederland. Dit kunnen niet alleen jongeren onder de 18 jaar zijn. Er is daarom nog een doelgroep die ouder is dan 18 jaar.” Zie dossierstuk 26, p2.

16/29

74. Voorts vermelden berichten uit de media in augustus 2020 dat cijfers van Bytedance, de moedermaatschappij van TikTok, tonen dat het aantal actieve gebruikers van TikTok in Nederland was gestegen tot 4,5 miljoen. Hoewel de grootste gebruikersgroep niet meer uit tieners zou bestaan, zouden gebruikers in de leeftijdscategorie van 13 tot en met 17 jaar wel 28 procent vormen van alle gebruikers in Nederland, wat neerkomt op ongeveer 1.260.000 gebruikers.29

75. Op grond van het bovenstaande stelt de AP vast dat TikTok wordt gebruikt door een groot aantal Nederlandse kinderen jonger dan 16 jaar.

5. Beoordeling 76. In dit hoofdstuk wordt achtereenvolgens vastgesteld dat TikTok Inc. als verwerkingsverantwoordelijke persoonsgegevens heeft verwerkt en dat TikTok Inc. in de periode van 25 mei 2018 tot en met 28 juli 2020 artikel 12, lid 1 van de AVG heeft overtreden.

29 Zie bijvoorbeeld Emerce: TikTok groeit in Nederland tot 4,5 miljoen gebruikers - Emerce.

17/29

5.1 Verwerking van persoonsgegevens

Persoonsgegevens

77. Artikel 4, aanhef en onder 1, van de AVG bepaalt dat een persoonsgegeven alle informatie betreft over een geïdentificeerde of identificeerbare natuurlijke persoon.

78. Zoals blijkt uit het register van verwerkingen30 heeft TikTok Inc. in de periode van 25 mei 2018 tot en met 28 juli 2020 een groot aantal gegevens van gebruikers verwerkt waaronder de video’s die zij plaatsten, berichten die zij verstuurden en andere (sociale) activiteiten die zij ontplooiden. Op grond hiervan stelt de AP vast dat in de onderhavige zaak sprake is van informatie van identificeerbare personen en dus sprake is van persoonsgegevens in de zin van artikel 4, aanhef en onder 1, van de AVG.

Verwerking

79. Op grond van artikel 2, lid 1 en artikel 3, lid 1 van de AVG, is de AVG van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie. Het begrip ‘verwerking’ omvat ingevolge artikel 4, aanhef en onder 2, van de AVG elke mogelijke bewerking of geheel van bewerkingen van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, opslaan, verspreiden en ter beschikking stellen van gegevens.

80. Uit het register van verwerkingen van TikTok Inc. en paragraaf 4.1 blijkt dat TikTok Inc. in de periode van 25 mei 2018 tot en met 28 juli 2020 de gegevens van gebruikers onder meer ontving, verwerkte, analyseerde en verspreidde. Daarmee is sprake is van de verwerking van persoonsgegevens in de zin van artikel 4, aanhef en onder 2, van de AVG.

81. Gelet hierop concludeert de AP dat sprake is van verwerking van persoonsgegevens waarop de AVG van toepassing is – zie artikel 2, lid 1 van de AVG.

30 Dossierstuk 15, bijlage 3.

18/29

5.2 Verwerkingsverantwoordelijke

82. Artikel 4, aanhef en onder 7, van de AVG bepaalt dat de verwerkingsverantwoordelijke een natuurlijke persoon of rechtspersoon is, die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bepalend is wie het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerkingsverantwoordelijke kan dit alleen doen, maar ook samen met anderen.

Zienswijze TikTok

83. TikTok stelt in haar schriftelijke zienswijze dat de verwerkingsverantwoordelijkheid op 29 juli 2020 is overgedragen van TikTok Inc. naar TikTok Ierland en TikTok UK.

Overwegingen AP

84. Uit het op 20 mei 2020 overgelegde register van verwerkingen en Privacybeleid van TikTok Inc.31, alsmede de schriftelijke zienswijze van TikTok blijkt dat TikTok Inc., gevestigd in Californië (de Verenigde Staten), in de periode van 25 mei 2018 tot en met 28 juli 2020 de doelen en middelen voor de verwerkingen vaststelde.

85. De AP concludeert daarom dat TikTok Inc. voor de periode van 25 mei 2018 tot en met 28 juli 2020 kwalificeert als verwerkingsverantwoordelijke in de zin van artikel 4, aanhef, en onder 7, van de AVG.

5.3 Transparantie en informatieplicht

86. Transparantie is een belangrijk beginsel van het EU-recht.32 Transparantie is een uitdrukking van het beginsel van eerlijkheid in verband met de verwerking van persoonsgegevens zoals vervat in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Transparantie is dan ook, samen met rechtmatigheid en behoorlijkheid, in de AVG opgenomen in artikel 5, lid 1, aanhef en onder a als één van de basisbeginselen van de verwerking van persoonsgegevens.

87. In overweging 60 van de AVG wordt opgemerkt dat de betrokkene, overeenkomstig de beginselen van behoorlijke en transparante verwerking, op de hoogte moet worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan. Overweging 39 van de AVG vult aan dat overeenkomstig het transparantiebeginsel informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moet zijn. Tevens moet duidelijke en eenvoudige taal worden gebruikt. Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen.

31 Dossierstuk 15, bijlagen 3 en 5. 32 Zie onder meer artikel 1 en artikel 22, lid 2 van het Verdrag betreffende de Europese Unie.

19/29

88. In de Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 (hierna: Richtsnoeren transparantie) wordt benadrukt dat één van de kernelementen van het beginsel van transparantie en behoorlijkheid is dat betrokkenen van tevoren de reikwijdte en de gevolgen van de verwerking moeten kunnen bepalen en later niet verrast worden door andere manieren waarop hun persoonsgegevens zijn gebruikt.33

89. De praktische (informatie)vereisten waar het gaat om het informeren van betrokkenen zijn uitgewerkt in de artikelen 12 tot en met 15 van de AVG.

90. Artikel 12 van de AVG bepaalt dat de verwerkingsverantwoordelijke passende maatregelen neemt opdat de betrokkenen de informatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen verstrekt.

91. Het element “begrijpelijk” wordt in de Richtsnoeren transparantie nader ingevuld en hierbij dient als maatstaf een gemiddeld lid van het beoogde publiek te worden genomen. Van een verwerkingsverantwoordelijke die het beginsel van verantwoordingsplicht in acht neemt, mag worden verwacht dat deze de betrokkenen waarover informatie wordt verzameld kent. Op basis van deze kennis dient de verwerkingsverantwoordelijke te bepalen wat de doelgroep waarschijnlijk zal begrijpen. Zo kan een verwerkingsverantwoordelijke die persoonsgegevens van werkende professionals verzamelt ervan uitgaan dat zijn of haar doelgroep een hoger niveau van begrip heeft dan de doelgroep van een verwerkingsverantwoordelijke die persoonsgegevens van kinderen verzamelt.34

92. Om te voldoen aan het element “duidelijke en eenvoudige taal” zou de informatie die aan een betrokkene wordt verstrekt geen te juridische, technische of specialistische taal of terminologie moeten bevatten. Wanneer de informatie in een of meer talen wordt vertaald, dient de verwerkingsverantwoordelijke ervoor te zorgen dat alle vertalingen getrouw zijn en dat de woordkeuze en zinsbouw in de andere taal of talen correct zijn, zodat de vertaalde tekst goed is te volgen en te begrijpen. Wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, moet een vertaling in die talen worden verstrekt.35

93. Voor wat betreft het verstrekken van informatie aan kinderen benadrukt overweging 58 van de AVG: “Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen”.

33 Richtsnoeren transparantie, punt 10. 34 Richtsnoeren transparantie, punt 9. 35 Richtsnoeren transparantie, punt 13.

20/29

94. In de Richtsnoeren transparantie wordt eveneens extra aandacht besteed aan de zorgplicht ten aanzien van het vereiste eenvoudige taal te gebruiken waar het gaat om de verstrekking van informatie aan kinderen en andere kwetsbare groepen. Zo wordt in de richtsnoeren transparantie benadrukt dat een verwerkingsverantwoordelijke die zich richt tot kinderen (of zich ervan bewust is, of zou moeten zijn, dat zijn of haar goederen/diensten met name door kinderen worden gebruikt) ervoor moet zorgen dat de vocabulaire, de toon en de stijl van de gebruikte taal passend is voor kinderen. Op deze manier kan het kind voor wie de informatie is bedoeld begrijpen dat de informatie tot hem of haar is gericht.36

Zienswijze TikTok

95. TikTok erkent dat een van de kernelementen van de beginselen van transparantie en behoorlijkheid is dat betrokkenen van tevoren moeten kunnen bepalen wat de omvang en gevolgen zijn van de verwerking en dat zij achteraf niet voor verrassingen mogen staan over de wijze waarop hun persoonsgegevens zijn gebruikt. TikTok is ten eerste van mening dat zij via verschillende maatregelen aan deze norm heeft voldaan en dat de AP zich ten onrechte enkel concentreert op de gebruikersvoorwaarden en het privacybeleid van TikTok. TikTok verwijst in dit verband naar 1) maatregelen in de TikTok-app zoals pop-up notificaties en de privacy- en beveiligingsinstellingen, 2) de Help Centre en Safety Centre van TikTok waar gebruikers van informatie worden voorzien, en 3) de door TikTok in juli 2020 uitgerolde Nederlandstalige samenvatting van haar privacybeleid. Ten tweede is TikTok van mening dat Nederlandse gebruikers de Engelse taal behoorlijk beheersen, waardoor geen sprake is van strijd met artikel 12, lid 1 van de AVG. Zij merkt in dat verband op dat Nederland wereldwijd sinds 2011 in de top drie staat van de zogeheten Education First English Proficiency Index. Ten derde wordt volgens TikTok in het onderzoeksrapport niet onderbouwd dat haar privacybeleid geen duidelijke en eenvoudige taal heeft gebruikt die is gericht op kinderen.

Overwegingen AP

96. Zoals uit de Richtsnoeren transparantie blijkt, dient van een verwerkingsverantwoordelijke te worden gevergd dat hij zijn beoogde publiek kent en aan de hand van deze informatie dient vast te stellen wat als begrijpelijk kwalificeert. In het geval van TikTok betekent dit dat zij zich er van bewust dient te zijn dat de doelgroep in ieder geval voor een substantieel deel bestaat uit kinderen jonger dan 16 jaar. Daarbij brengt deze jonge doelgroep conform artikel 12, lid 1 van de AVG en de Richtsnoeren transparantie een extra verantwoordelijkheid mee waar het gaat om het gebruik van duidelijke en eenvoudige taal in alle communicatie. Kinderen verdienen immers een specifieke bescherming, hetgeen maakt dat het gebruik van duidelijke en eenvoudige taal extra belangrijk is.37

36 Richtsnoeren transparantie, punt 14. 37 Zie ook overweging 58 van de AVG en Richtsnoeren transparantie, punt 7.

21/29

97. Uit hetgeen hiervoor in randnummers 66 tot en 68 is uiteengezet blijkt echter dat TikTok Inc. gedurende de periode van 25 mei 2018 tot en met 28 juli 2020 haar privacybeleid aan Nederlandse betrokkenen – waaronder kinderen – heeft verstrekt in uitsluitend de Engelse taal. 38

98. De omstandigheid dat TikTok Inc. deze informatie niet in de Nederlandse taal heeft verstrekt aan Nederlands(talig)e kinderen onder de 16 jaar maakt reeds dat TikTok artikel 12, lid 1 van de AVG heeft overtreden. Het vereiste van begrijpelijkheid vergt ten minste dat wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, zij een vertaling in die taal aan die betrokkenen verstrekt. Deze verplichting geldt in het bijzonder wanneer – zoals in dit geval – zij zich richt tot (jonge) kinderen, zodat zij die informatie makkelijk kunnen begrijpen.39 De omstandigheid dat een relatief grote groep Nederlanders het Engels goed beheerst maakt dit niet anders, zeker niet nu TikTok wordt gebruikt door veel personen onder de 16 jaar. Een goede beheersing van de Engelse taal van betrokkenen in die leeftijdsgroep(en) is niet vanzelfsprekend. TikTok Inc. had er dan ook niet van mogen uitgaan dat het aan kinderen verstekken van enkel de Engelstalige versie van het privacybeleid in overeenstemming is met artikel 12, lid 1 van de AVG.

99. De andere door TikTok genoemde getroffen transparantiemaatregelen doen er niet aan af dat de Engelstalige privacyverklaring niet in voor kinderen begrijpelijke taal is verstrekt en kunnen reeds om die reden de overtreding van artikel 12, lid 1 van de AVG niet compenseren.

100. De door TikTok gehanteerde pop-ups dragen onmiskenbaar bij aan een betere transparantie. Deze maatregel laat echter onverlet dat het volledige privacybeleid van TikTok Inc. niet was opgesteld in voor Nederlandse kinderen onder de 16 jaar begrijpelijke en eenvoudige taal. Deze pop ups zijn geen vervanging van haar privacybeleid. Ze informeren betrokkenen over de openbaarheid van hun te plaatsen video’s, maar geven niet alle informatie zoals die op grond van artikel 13 van de AVG door de verwerkingsverantwoordelijke moeten worden verschaft.

101. Daarnaast geldt voor de door TikTok genoemde privacy- en veiligheidsinstellingen en het Help and Saftety Centre dat kinderen daar pas worden geïnformeerd als ze zelf actief naar informatie gaan zoeken. Hierdoor bestaat het risico dat ze niet tijdig geïnformeerd worden, hetgeen – zoals TikTok ook zelf erkent – een cruciaal element is van de transparantieverplichting.40 Bovendien geldt ook voor deze maatregelen dat zij geen vervanging kan bieden voor haar privacybeleid nu niet alle informatie wordt verstrekt die op grond van artikel 13 van de AVG door de verwerkingsverantwoordelijke moet worden verschaft.

38 Dossierstuk 1, dossierstuk 7 en dossierstuk 15, bijlage 5. De tekst van het privacybeleid die TikTok aan de AP heeft overgelegd betreft de versie die laatstelijk is geüpdatet in oktober 2019. Echter, TikTok heeft de voorwaarden uit het privacybeleid in de periode vanaf 25 mei 2018 – 29 juli 2020 niet substantieel aangepast, zie brief d.d. 1 mei 2020 van TikTok aan de AP, blz. 7 (antwoord op vraag 11). 39 Vergelijk Richtsnoeren transparantie, punt 13 en 14. 40 Zie ook Richtsnoeren transparantie, punt 27.

22/29

102. Met ingang van 29 juli 2020 verstrekt TikTok haar privacybeleid aan Nederlandse betrokkenen – en daarmee ook Nederlandse kinderen onder de 16 jaar – in de Nederlandse taal. Zoals TikTok ook in haar schriftelijke zienswijze heeft opgemerkt heeft TikTok daarnaast met ingang van 29 juli 2020 een apart document opgesteld dat in taalgebruik en vorm aansluit bij (Nederlandstalige) kinderen.41 Met deze twee maatregelen komt TikTok tegemoet aan het vereiste conform artikel 12 van de AVG om Nederlandstalige kinderen in een voor hen begrijpelijke taal te informeren.

5.4 Conclusie met betrekking tot artikel 12, lid 1 van de AVG

103. Op grond van het voorgaande concludeert de AP dat TikTok Inc. gedurende de periode van 25 mei 2018 tot en met 28 juli 2020 artikel 12, lid 1 van de AVG heeft overtreden.

6. Boete 6.1 Inleiding

104. Door kinderen niet in begrijpelijke taal te informeren over de verwerking van hun persoonsgegevens, heeft TikTok Inc. in de periode van 25 mei 2018 tot en met 28 juli 2020 in strijd gehandeld met artikel 12, lid 1 van de AVG. TikTok Inc. heeft in deze periode geen maatregelen genomen om ervoor te zorgen dat kinderen de informatie in verband met de verwerking van hun persoonsgegevens in een voor hen duidelijke en eenvoudige taal ontvangen en is daarmee geheel voorbij gegaan aan het belang van Nederlandse kinderen waar het gaat om de extra bescherming die zij genieten onder de AVG. De AP is van oordeel dat dit een ernstige overtreding betreft.

105. De AP ziet hierin aanleiding om gebruik te maken van haar bevoegdheid om een boete op grond van artikel 58, lid 2, aanhef en onder i en artikel 83, lid 5 van de AVG, gelezen in samenhang met artikel 14, lid 3 van de UAVG, aan TikTok Inc. op te leggen. De AP hanteert hiervoor de Boetebeleidsregels 2019.42

Zienswijze TikTok

106. TikTok is primair van mening dat de AP niet bevoegd is om een boete op te leggen aangezien de hoofdvestiging van TikTok in Ierland is gevestigd. Zelfs al zou de AP bevoegd zijn, dan zou er geen aanleiding zijn voor het opleggen van een boete omdat TikTok handelt en gehandeld heeft in overeenstemming met de AVG. Mocht de AP hier anders over denken dan moet, voor het opleggen van een punitieve sanctie, de AP kunnen aantonen dat TikTok in strijd heeft gehandeld met een wettelijke bepaling die duidelijk, nauwkeurig en voorzienbaar was voor TikTok.43

[VERTROUWELIJK]. Het opleggen van een punitieve sanctie op basis van open normen is in strijd

41 Dossierstuk 33 en randnummer 160 van het onderzoeksrapport. 42 Stcrt. 2019, 14586, 14 maart 2019. 43 TikTok verwijst in dit verband naar ECLI:NL:RVS:2002:AF0842, ECLI:NL:CBB:2018:187.

23/29

met het nulla poena-beginsel en het legaliteitsbeginsel. In dergelijke gevallen is een berisping een geschikter instrument. Ten slotte stelt TikTok dat alle omstandigheden van het geval moeten worden meegenomen om tot een passende afdoening te komen, evenals de voorwaarden van artikel 83 AVG en alle beginselen van behoorlijk bestuur. TikTok heeft volledig meegewerkt aan het onderzoek en heeft tevens verzocht om een ontmoeting met de onderzoeksafdeling om op deze manier hun zorgen beter te begrijpen.

Overwegingen AP

107. In paragraaf 5.4 van dit besluit heeft de AP geconcludeerd dat TikTok Inc. gedurende de periode van 25 mei 2018 tot en met 28 juli 2020 artikel 12, lid 1 van de AVG heeft overtreden. TikTok Inc. heeft aldus niet in overeenstemming met de AVG gehandeld. Zoals hiervoor in hoofdstuk 2 van dit besluit is uiteengezet, is de AP bevoegd om voor de vastgestelde overtreding van artikel 12, lid 1 van de AVG een besluit te nemen en een sanctie op te leggen. Er is namelijk sprake van een overtreding die vóór 29 juli 2020 is beëindigd. Deze overtreding valt daarmee buiten de reikwijdte van Opinie 8/201944

hetgeen tot gevolg heeft dat de AP bevoegd is om hiervoor een boete op te leggen.

108. Met haar stelling dat de AP moet kunnen aantonen dat TikTok in strijd heeft gehandeld met een wettelijke bepaling die voor haar duidelijk, nauwkeurig en voorzienbaar was, doet TikTok feitelijk een beroep op het lex certa-beginsel.

109. Zoals de Afdeling Rechtspraak van de Raad van State meermaals heeft overwogen45 verlangt het lex certa-beginsel, dat onder meer besloten ligt in artikel 7 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, van de wetgever dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedragingen omschrijft. Daarbij moet niet uit het oog worden verloren dat de wetgever soms met een zekere vaagheid, bestaande uit het gebruik van algemene termen, verboden gedragingen omschrijft om te voorkomen dat gedragingen die strafwaardig zijn buiten het bereik van die omschrijving vallen. Die vaagheid kan onvermijdelijk zijn, omdat niet altijd te voorzien is op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, de omschrijvingen van verboden gedragingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van wetgeving schade lijdt.

110. Het enkele feit dat het begrip “begrijpelijke, duidelijke en eenvoudige taal”, dat in deze zaak beslissend is voor de toepasselijkheid van de artikel 12, lid 1 van de AVG, aan de hand van de feiten en omstandigheden uitleg vergt, betekent niet dat de op grond van die bepaling opgelegde bestuurlijke boete in strijd is met het lex certa-beginsel.

111. Deze omschrijving is dermate duidelijk, voorzienbaar en kenbaar dat TikTok kon weten dat het niet in de Nederlandse taal aanbieden van haar privacybeleid aan Nederlands(talig)e betrokkenen, waarvan

44 Zie randnummer 16 van Opinie 8/2019. 45 Zie onder meer de uitspraken van 9 juli 2014, ECLI:NL:RVS:2014:2493 en 16 januari 2019, ECLI:NL:RVS:2019:109.

24/29

een groot deel uit kinderen bestaat, een overtreding zou opleveren van het vereiste van duidelijke en eenvoudige taal als bedoeld in artikel 12, lid 1 van de AVG. Dit geldt in het bijzonder nu in de Richtsnoeren Transparantie wordt overwogen dat wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, een vertaling in die talen moet worden verstrekt. Deze verplichting geldt met name wanneer zij zich richt tot (jonge) kinderen, zodat zij die informatie makkelijk kunnen begrijpen en vindt aansluiting bij de specifieke bescherming die kinderen verdienen op grond van overweging 58 bij de AVG. De TikTok-app is gericht op Nederlandse betrokkenen, waaronder kinderen, en is voor het overgrote deel in de Nederlandse taal aan hen beschikbaar gesteld. Bovendien wijst TikTok de gebruiker bij de installatie van de app er wel in de Nederlandse taal op dat hij of zij akkoord gaat met haar privacybeleid.

112. Van strijd met het lex certa-beginsel is dan ook geen sprake.

113. [VERTROUWELIJK].

114. De AP ziet in het door TikTok gestelde geen aanleiding om van haar bevoegdheid tot het opleggen van een boete wegens overtreding van artikel 12, lid 1 van de AVG af te zien.

6.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (hierna: Boetebeleidsregels 2019)

115. Ingevolge artikel 58, lid 2, aanhef en onder i en artikel 83, lid 5 van de AVG, gelezen in samenhang met artikel 14, lid 3 van de UAVG, is de AP bevoegd aan TikTok Inc. in geval van een overtreding van artikel 12, lid 1 van de AVG een bestuurlijke boete op te leggen tot € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

116. De AP heeft Boetebeleidsregels 2019 vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.

117. Ingevolge artikel 2, onder 2.2, van de Boetebeleidsregels 2019 zijn de bepalingen ter zake van overtredingen waarvoor de AP een bestuurlijke boete kan opleggen van ten hoogste het bedrag van € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is, in bijlage 2 ingedeeld in categorie I, categorie II, categorie III of categorie IV.

118. In Bijlage 2 is de overtreding van artikel 12, lid 1 van de AVG ingedeeld in categorie III.

119. Ingevolge artikel 2.3 van de Boetebeleidsregels 2019 stelt de AP de basisboete voor overtredingen waarvoor een wettelijk boetemaximum geldt van € 20.000.000 […] vast binnen de in dat artikel bepaalde boetebandbreedtes. Voor overtredingen in categorie III van bijlage 2 van de Boetebeleidsregels 2019 geldt een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000.

25/29

120. Ingevolge artikel 6 van de Boetebeleidsregels 2019 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen.

121. Ingevolge artikel 7 van de Boetebeleidsregels 2019 houdt de AP onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht (hierna: Awb) rekening met de volgende factoren die zijn ontleend aan artikel 83, lid 2 van de AVG, in de Boetebeleidsregels 2019 genoemd onder a tot en met k.

6.3 Boetehoogte

122. In deze paragraaf wordt eerst ingegaan op de factoren die ingevolge artikel 7 van de Boetebeleidsregels 2019 relevant zijn voor het bepalen van de boetehoogte. Tot slot wordt ingegaan op het evenredigheidsbeginsel.

123. Volgens de AP zijn in dit geval de volgende in artikel 7 van de Boetebeleidsregels 2019 genoemde factoren relevant voor het bepalen van de boetehoogte: - de aard, de ernst en de duur van de inbreuk; - de opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid); - de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken.

6.3.1 Aard, ernst en duur van de inbreuk

124. Ingevolge artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk. Bij de beoordeling hiervan betrekt de AP onder meer de aard, de omvang of het doel van de verwerking alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.

125. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1 van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1 van het Verdrag betreffende de werking van de Europese Unie heeft eenieder recht op bescherming van zijn persoonsgegevens. De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. De AVG beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen. De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden

26/29

beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.

126. Ingevolge artikel 12, lid 1 van de AVG dient de verwerkingsverantwoordelijke passende maatregelen te nemen opdat de betrokkenen de informatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangen, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. Indien in strijd hiermee wordt gehandeld, raakt dit het recht dat betrokkenen hebben op de eerbiediging van hun persoonlijke levenssfeer en de bescherming van hun persoonsgegevens.

127. De activiteit van TikTok Inc. waarop de bevindingen van de AP zien, betreft het verstrekken van enkel de Engelstalige versie van het privacybeleid aan Nederlandse betrokkenen, waaronder een grote groep Nederlands(talig)e kinderen jonger dan 16 jaar. Het privacybeleid werd niet in de Nederlandse taal verstrekt, terwijl een goede beheersing van de Engelse taal in die leeftijd(groep) niet vanzelfsprekend is. Voor hen was het dan ook niet mogelijk om van tevoren de omvang en gevolgen van de verwerking te bepalen en was het niet duidelijk op welke wijze hun persoonsgegevens gebruikt zouden worden.

128. Bij de beoordeling van de ernst van de overtreding betrekt de AP tevens het grote aantal betrokkenen en de hoeveelheid persoonsgegevens die zijn verwerkt. In paragraaf 4.4 van dit besluit is reeds uiteengezet dat een onderzoeksbureau in een indicatief onderzoek van eind 2019 heeft geschat dat ongeveer 830.000 Nederlandse kinderen onder de 18 jaar gebruik maken van TikTok en dat TikTok op dat moment verhoudingsgewijs met name gebruikt werd door kinderen in de leeftijd rondom 12 jaar. In diezelfde paragraaf is geconstateerd dat berichten uit de media in augustus 2020 melden dat cijfers van het moederbedrijf van TikTok tonen dat het aantal actieve gebruikers van TikTok in Nederland was gestegen tot 4,5 miljoen, waarbij gebruikers in de leeftijdscategorie van 13 tot en met 17 jaar 28 procent zouden vormen van alle gebruikers in Nederland, wat neerkomt op ongeveer 1.260.000 jonge gebruikers. De verwerkingen hadden aldus mede betrekking op een kwetsbare groep personen, namelijk kinderen. Zij hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens.46 Dit maakt, in het bijzonder gelet op de massaliteit van het aantal jonge gebruikers van TikTok in Nederland, de overtreding extra ernstig.

129. Wat betreft de duur van de overtreding houdt de AP rekening met een periode van 25 mei 2018 tot en met 28 juli 2020 waarbij zij met name van belang acht dat daarmee naar het oordeel van de AP sprake was van een overtreding die een aanzienlijke periode heeft voortgeduurd.

46 Overweging 38 van de AVG.

27/29

130. Gelet op de ernst en duur van de overtreding ziet de AP aanleiding om het basisbedrag van de boete op grond van artikel 6 en artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 te verhogen met € 225.000,-- tot € 750.000,--, zijnde het maximum van de bandbreedte van de aan de overtreding gekoppelde boetecategorie.

6.3.2 Opzettelijke of nalatige aard van de inbreuk (verwijtbaarheid)

131. Ingevolge artikel 5:46, lid 2 van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten. Ingevolge artikel 7, onder b, van de Boetebeleidsregels 2019 houdt de AP rekening met de opzettelijke of nalatige aard van de inbreuk. Nu het hier gaat om een overtreding, is voor het opleggen van een bestuurlijke boete conform vaste rechtspraak47 niet vereist dat wordt aangetoond dat sprake is van opzet en mag de AP verwijtbaarheid veronderstellen als het daderschap vaststaat.48

132. Volgens artikel 12, lid 1 van de AVG dient de verwerkingsverantwoordelijke de informatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te verstrekken aan de betrokkenen, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. Van een professionele partij als TikTok Inc. mag, mede gelet op de aard en de omvang van de verwerking, worden verwacht dat zij zich goed van de voor haar geldende normen vergewist en deze naleeft.

133. TikTok Inc. heeft bewust haar privacybeleid aan Nederlandse betrokkenen – waaronder kinderen –verstrekt in uitsluitend de Engelse taal49, terwijl het vereiste van begrijpelijkheid vergt dat wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, zij ten minste een vertaling in die taal aan die betrokkenen verstrekt. Deze verplichting geldt in het bijzonder nu TikTok Inc. zich mede richtte tot (jonge) kinderen, terwijl de TikTok-app zelf voor het overgrote deel in de Nederlandse taal aan hen beschikbaar is gesteld en TikTok de gebruiker bij de installatie van de app er wel in de Nederlandse taal op wijst dat hij of zij akkoord gaat met haar privacybeleid. In het licht van het voorgaande acht de AP de overtreding verwijtbaar.

6.3.3 Genomen maatregelen om de door betrokkenen geleden schade te beperken

134. De AP overweegt dat TikTok Inc. diverse maatregelen heeft getroffen waarmee is beoogd de door betrokkenen geleden schade te beperken. Betrokkenen krijgen bij het gebruik van de TikTok-app pop-up notificaties waardoor zij geïnformeerd worden over de openbaarheid van eventueel te plaatsen video’s. Voorts dragen de vernieuwde privacy- en beveiligingsinstellingen en het Help

47 Vgl. CBb 29 oktober 2014, ECLI:NL:CBB:2014:395, r.o. 3.5.4, CBb 2 september 2015, ECLI:NL:CBB:2015:312, r.o. 3.7 en CBb 7 maart 2016, ECLI:NL:CBB:2016:54, r.o. 8.3, ABRvS 29 augustus 2018, ECLI:NL:RVS:2018:2879, r.o. 3.2 en ABRvS 5 december 2018, ECLI:NL:RVS:2018:3969, r.o. 5.1. 48 Kamerstukken II 2003/04, 29702, nr. 3, p. 134. 49 Zie randnummer 66 van dit besluit.

28/29

Centre en Safety Centre van TikTok, waar gebruikers van informatie worden voorzien, bij aan een betere transparantie. Ook heeft TikTok met ingang van 29 juli 2020 haar privacybeleid verstrekt in de Nederlandse taal aan Nederlandse betrokkenen en heeft zij per die datum tevens een separaat document beschikbaar gesteld waarin (Nederlandstalige) kinderen in begrijpelijke taal worden geïnformeerd.

135. De AP overweegt dat hiermee de gevolgen voor de rechten van betrokkenen niet zijn weggenomen en concludeert reeds op basis daarvan dat er geen aanleiding is om het basisbedrag van de boete op grond van artikel 7, onder c van de Beleidsregels 2019 te wijzigen.

6.3.4 Overige factoren

136. De AP ziet geen aanleiding het basisbedrag van de boete op grond van de overige in artikel 7 van de Boetebeleidsregels 2019 genoemde omstandigheden, voor zover van toepassing in het voorliggende geval, te verhogen of te verlagen.

6.3.5 Evenredigheid

137. Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Toepassing geven aan het evenredigheidsbeginsel brengt volgens de Boetebeleidsregels 2019 mee dat de AP bij het vaststellen van de boete zo nodig rekening houdt met de financiële omstandigheden waarin de overtreder verkeert. TikTok heeft geen beroep gedaan op beperkte draagkracht waardoor er reeds om die reden geen grond is om de boete op grond van evenredigheid te matigen. De AP acht in dit geval een boete van € 750.000,-- passend en geboden en acht TikTok Inc. voldoende draagkrachtig om dit bedrag te kunnen betalen.

6.3.6 Conclusie

138. De AP stelt het totale boetebedrag vast op € 750.000,--.

29/29

7. Dictum Boete

De AP legt aan TikTok Inc., wegens overtreding van artikel 12, lid 1 van de AVG een bestuurlijke boete op ten bedrage van € 750.000,-- (zegge: zevenhonderdvijftigduizend euro).50

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

ir. M.J. Verdier Vicevoorzitter

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

50 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).