E02 — TikTok: Kary za dane dzieci — DPC 345 mln €, ICO 12,7 mln £

Kategoria: Ochrona dzieci / RODO / public-by-default / mylące interfejsy / Family Pairing Firma/firmy: TikTok / ByteDance Lata: Lipiec–grudzień 2020 (badany okres), kwiecień 2023 (ICO), wrzesień 2023 (DPC) Status: Zakończone; TikTok w odwołaniu w Irish High Court ID karty: E02

---

Metadane

Pole	Wartość
Kraj/region	UE (Irlandia DPC lead), UK (ICO)
Rok ujawnienia	Wrzesień 2021 (DPC rozpoczyna dochodzenie)
Lata trwania praktyki	31 lipca – 31 grudnia 2020 (okres badany); szerzej 2019–2021
Łączna kara	345 000 000 EUR (DPC) + 12 700 000 GBP (ICO) = ~360 mln EUR
Waluta	EUR / GBP
Podstawa prawna	RODO art. 5(1)(a), 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1), 25(2); UK DPA 2018; COPPA USA
Sygnalista/odkrywca	Irish DPC own-volition inquiry (wrzesień 2021); UK ICO
Liczba poszkodowanych	1 400 000 dzieci <13 lat (UK); miliony w UE 13–17 lat
Status (na dziś)	TikTok w odwołaniu High Court Irlandia; ICO kara zapłacona

---

W skrócie

15 września 2023 irlandzka Data Protection Commission (DPC) ogłosiła karę 345 mln EUR dla TikTok za naruszenia RODO w traktowaniu danych dzieci. Wcześniej, 4 kwietnia 2023, brytyjskie ICO (Information Commissioner’s Office) nałożyło karę 12,7 mln GBP za nielegalnne przetwarzanie danych 1,4 mln dzieci <13 lat — które nie powinny były mieć kont TikTok.

Badany okres DPC: 31 lipca – 31 grudnia 2020 (5 miesięcy). Kluczowe naruszenia:

1. Public-by-default — konta dzieci (13–17 lat) były domyślnie publiczne. Każdy mógł je obserwować, widzieć posty, komentować. Dziecko musiało aktywnie zmienić ustawienie. Klasyczne naruszenie privacy by design (art. 25 RODO).

2. “Family Pairing” — funkcja pozwalająca rodzicowi sparować swoje konto z kontem dziecka i zarządzać ustawieniami. Problem: TikTok nie weryfikował, czy osoba uruchamiająca Family Pairing jest rzeczywiście rodzicem. Dowolna osoba dorosła mogła sparować się z kontem dziecka i wzmocnić dostęp (np. włączyć Direct Messages dla dzieci >16 lat, mimo że dziecko miało wyłączone). Potencjalne narzędzie grooming’u.

3. Dark patterns — interfejs skierowany do dzieci używał zwodniczych wzorców: tekst „Skip” do zignorowania ostawień prywatności był większy niż „Review”, kolory wskazywały „fast setup” = mniej prywatności. EDPB (Europejska Rada Ochrony Danych) w wiążącej decyzji z 2 sierpnia 2023 (Binding Decision 2/2023) dodała naruszenie art. 5(1)(a) RODO (zasada uczciwości).

4. Transparency — informacje dla dzieci o publicznym charakterze postów były niewystarczające. Pojęcia jak “public”, “anyone”, “everyone” były niejasne dla nastolatka.

5. Age verification — DPC początkowo zakwestionował, ale ostatecznie uznał, że był zgodny (choć Garante z Włoch zgłosił sprzeciw).

DPC wymierzył 345 mln EUR + nakaz compliance w 3 miesiące + reprymenda. Kara 345 mln EUR składała się z: 100 mln EUR (public-by-default), 65 mln EUR (Family Pairing), 180 mln EUR (transparentność). TikTok odwołał się do Irish High Court w październiku 2023 twierdząc, że fine jest „disproportionate” i że wszystkie zarzuty dotyczą praktyk z 2020 — zmienionych w 2021 (jeszcze przed rozpoczęciem dochodzenia DPC).

UK ICO — osobna sprawa, kwiecień 2023. ICO stwierdził, że TikTok świadomie pozwalał 1,4 mln dzieci poniżej 13 lat korzystać z platformy bez zgody rodziców — co narusza UK DPA 2018 i Children’s Code. Kara 12,7 mln GBP (obniżona z pierwotnej kwoty 27 mln GBP po procesie negotiations).

Sprawa E02 jest punktem zwrotnym w egzekwowaniu Children’s Online Privacy w UE. Kolejne sprawy: Instagram 405 mln EUR (2022, za publiczne domyślne konta nieletnich → A09). Razem: DPC wymierzył ponad 750 mln EUR kar za ochronę dzieci w 2022–2023.

---

Oś czasu

• Sierpień 2018 — TikTok debiut globalny.
• 2019–2020 — TikTok rośnie wśród nastolatków. Krytyka kultury app — algorytm dostosowany do nastolatków.
• Luty 2020 — ICO UK wszczyna dochodzenie wstępne.
• Lipiec 2020 — okresy DPC audit zaczynają się (31 lipca).
• 31 grudnia 2020 — koniec okresu DPC audit.
• Styczeń–sierpień 2021 — TikTok sam wprowadza zmiany: konta nieletnich domyślnie prywatne; DM dla <16 lat wyłączone; Family Pairing ulepszony.
• Wrzesień 2021 — DPC oficjalnie rozpoczyna own-volition inquiry.
• 2022 — dochodzenia DPC i ICO.
• Kwiecień 2023 — ICO: kara 12,7 mln GBP.
• 2 sierpnia 2023 — EDPB Binding Decision 2/2023 dodaje naruszenie art. 5(1)(a) RODO (zasada uczciwości dot. mylące interfejsy).
• 1 września 2023 — DPC przyjmuje końcową decyzję.
• 15 września 2023 — DPC ogłasza 345 mln EUR kary.
• Październik 2023 — TikTok wnosi odwołanie w Irish High Court (judicial review).
• Grudzień 2023 — TikTok zobowiązane do compliance (3 miesiące od decyzji).
• 2024–2026 — odwołanie w toku.

---

Mechanizm

Public-by-default

Jak działało:

• Dziecko 13 lat zakładało konto. Automatycznie było publiczne.
• Każdy użytkownik TikTok (1+ mld globalnie) mógł zobaczyć profil, posty, komentować, wysyłać DM (dla >16 lat).
• Reklamy targetowane do publicznych kont dzieci.
• Dziecko musiało aktywnie wejść w ustawienia → Privacy → Private Account → włączyć.

Problem RODO:

• Art. 25(1) — privacy by design. Defaultowo powinno być minimum ujawnienia danych.
• Art. 25(2) — privacy by default. Ustawienia domyślne powinny być najbardziej chroniące.
• Art. 5(1)(c) — minimalizacja danych. Publiczne konto = maksymalna ekspozycja.

Dla nastolatka 13 lat argumenty “możesz zmienić” są niewystarczające. Nastolatki rzadko wchodzą w ustawienia, a nawet jeśli — publiczność została już nałożona.

Family Pairing — luka

Jak miało działać:

• Rodzic instaluje TikTok na swoim telefonie.
• Dziecko instaluje TikTok na swoim.
• Rodzic → Family Pairing → skanuje QR z telefonu dziecka → powiązanie.
• Rodzic może ograniczać czas, filtrować treści, kontrolować DM.

Jak działało w praktyce:

• Żadna weryfikacja, czy “rodzic” jest rzeczywiście rodzicem. Każdy dorosły mógł sparować się z kontem dziecka.
• Dorosły mógł wzmocnić dostęp dziecka: włączyć DM, zmienić ustawienia prywatności na mniej restrykcyjne.
• Potencjalne narzędzie grooming’u: predator → sparuje z kontem dziecka → włącza DM → bezpośredni kontakt.

Luka RODO:

• Art. 5(1)(f) — zasada integralności i poufności. Brak weryfikacji = brak bezpieczeństwa.
• Art. 25(1) — privacy by design. Funkcja umożliwiająca grooming to klasyczne naruszenie.

Dark patterns (EDPB 2023)

• “Skip” wyraźniejsze od “Review” — ustawienia domyślne publiczne były pro-platformowe.
• Zielone przyciski dla “fast setup” (mniej prywatności), szare dla “more info” (więcej prywatności).
• Pop-upy zachęcające do publicznego udostępniania pierwszego wideo.

EDPB wiążąca decyzja (sierpień 2023): “Social media companies have a responsibility to avoid presenting choices to users, especially children, in an unfair manner – particularly if that presentation can nudge people into making decisions that violate their privacy interests.” — Anu Talus, przewodnicząca EDPB.

UK ICO — 1,4 mln dzieci <13 lat

TikTok minimum wiek: 13 lat. Ale w okresie maj 2018 – lipiec 2020 (dokładny zakres badany przez ICO) ICO stwierdził, że TikTok świadomie pozwalał 1,4 mln brytyjskich dzieci <13 lat korzystać z platformy. Jak:

• Słabe age gates — dziecko mogło podać fałszywą datę urodzenia.
• Brak age assurance (narzędzi weryfikujących wiek).
• Children’s Code UK (ICO, 2020) wymaga silnej weryfikacji wieku.

Kara: 12,7 mln GBP. Pierwotnie ICO rozważał 27 mln GBP, ale obniżył po negotiations.

---

Odkrycie

Irish DPC — own-volition inquiry

Helen Dixon (DPC Commissioner do 2024), później Dale Sunderland i Des Hogan — główni regulatorzy. DPC samodzielnie otworzyło dochodzenie (own-volition, bez konkretnej skargi) w wrześniu 2021. Kontekst:

• Wcześniejsze kary na Facebook Messenger Kids, Instagram (A09).
• Oburzenie opinii publicznej ws. TikTok kultury wśród nastolatków.
• Raporty NGO: 5Rights Foundation, Children Rights International Network.

UK ICO

John Edwards (ICO Commissioner od 2022, po Elizabeth Denham). Prowadził dochodzenie równolegle do DPC. Children’s Code (Age Appropriate Design Code) od 2020 jest jednym z najsilniejszych globalnych standardów.

Pierwsze publikacje

• 4 kwietnia 2023 — ICO: “TikTok fined £12.7M for misusing children’s data”
• 15 września 2023 — DPC: “DPC announces €345 million fine of TikTok”
• Komentarze: BDO, McCann FitzGerald, Baker Botts, IAPP

---

Osoby kluczowe

DPC / UE

• Helen Dixon — DPC Commissioner 2014–2024.
• Dale Sunderland — Commissioner od 2024.
• Des Hogan — Commissioner od 2024.
• Anu Talus — przewodnicząca EDPB od 25 maja 2023, Data Protection Ombudsman Finlandii.

ICO / UK

• John Edwards — UK Commissioner od 2022.

TikTok

• Shou Chew — CEO TikTok globalnie.
• Theo Bertram — VP Public Policy Europe (do 2024).
• Michael Beckerman — VP Americas, Public Policy.

Sprawy krajowe (objections)

• Garante per la Protezione dei Dati Personali (Włochy) — zgłosił objection ws. age verification.
• Berliner Beauftragte für Datenschutz (Berlin) — zgłosił objection ws. mylące interfejsy.

Krytycy/organizacje

• 5Rights Foundation — UK, Baroness Beeban Kidron.
• European Digital Rights (EDRi).

---

Reakcja firmy

TikTok

Etap 1: zmiany przed dochodzeniem (2021). Przed oficjalnym rozpoczęciem DPC inquiry, TikTok sam wprowadza:

• Konta <16 lat domyślnie prywatne (styczeń 2021)
• DM dla <16 lat wyłączone (listopad 2020)
• Family Pairing ulepszone

Etap 2: obrona (2022–2023). Argument: “wszystko już naprawione, zanim zaczęliście”.

Etap 3: reakcja na karę (15 września 2023): Oświadczenie TikTok: “We respectfully disagree with the decision, particularly the level of the fine imposed. The DPC’s criticisms are focused on features and settings that were in place three years ago, and that we made changes to well before the investigation even began, such as setting all under-16 accounts to private by default.”

Etap 4: odwołanie (październik 2023). TikTok wnosi judicial review w Irish High Court. Argumenty:

• Fine “disproportionate”
• Brak oral hearing — naruszenie prawa do rzetelnego procesu
• DPC nie przekazało provisional views
• Sekcje 2018 Data Protection Act (Ireland) niekonstytucyjne / niezgodne z Kartą Praw Podstawowych UE
• Żądanie referencji do TSUE

Stan w kwietniu 2026: sprawa w toku w High Court.

---

Postępowanie prawne

Jurysdykcje

• Irlandia — DPC (lead supervisory authority)
• UK — ICO (post-Brexit odrębne)
• Włochy, Berlin — objections do DPC
• Holandia — AP — osobne postępowanie dot. transferów

Podstawa prawna

DPC decyzja cytuje:

• Art. 5(1)(a) RODO — zasada uczciwości (fairness) — dodane przez EDPB dla mylące interfejsy
• Art. 5(1)(c) RODO — minimalizacja
• Art. 5(1)(f) RODO — integralność i poufność (Family Pairing)
• Art. 12(1) RODO — transparentność
• Art. 13(1)(e) RODO — informowanie o odbiorcach
• Art. 24(1) RODO — odpowiedzialność administratora
• Art. 25(1) i 25(2) RODO — privacy by design i default

Kluczowe etapy

Data	Etap
Wrzesień 2021	DPC rozpoczyna inquiry
4 kwietnia 2023	ICO kara 12,7 mln GBP
Sierpień 2023	EDPB binding decision
15 września 2023	DPC kara 345 mln EUR
Październik 2023	TikTok judicial review
W toku	High Court Ireland

Orzecznictwo powiązane

• Instagram Ireland: DPC kara 405 mln EUR (wrzesień 2022) — analogiczna sprawa dzieci.
• Meta kara 1,2 mld EUR (DPC, maj 2023) — transfers to USA, → A07.
• TikTok 530 mln EUR (DPC, maj 2025) — transfery do Chin, → E03.

---

Kary i ugody

Data	Organ	Kwota	Jurysdykcja	Podstawa
4 kwietnia 2023	UK ICO	12 700 000 GBP	UK	UK DPA 2018, Children’s Code
15 września 2023	DPC Ireland	345 000 000 EUR	UE	RODO, wszystkie wymienione art.

Łącznie: ~360 mln EUR

---

Precedensy i implikacje

Dla prawa UE

• Art. 5(1)(a) (fairness) jako broń przeciw mylące interfejsy — EDPB wiążąca decyzja sierpień 2023 to pierwszy raz, gdy fairness jest formalnie użyte dla mylące interfejsy.
• “Public-by-default” dla dzieci = automatyczne naruszenie RODO. To sygnał dla wszystkich platform.
• EDPB dispute resolution — sprawa pokazała, że krajowe DPA mogą zmusić DPC do uwzględnienia ich obiekcji przez EDPB Article 65.

Dla prawa UK

• Children’s Code (Age Appropriate Design Code) jako standard globalny. ICO chwilowo najaktywniejszy regulator ochrony dzieci online.
• Kalifornia CAADCA — kalifornijska kopia Children’s Code (2022, sądownie zablokowana 2024).

Dla praktyki Big Tech

• Instagram, Snap, YouTube Shorts, Pinterest — wszystkie musiały dostosować ustawienia dzieci.
• Wzrost popularności platform dedykowanych dzieciom (Pok.to, TikTok Kids w różnych krajach).

---

Pozwy zbiorowe

Sprawa	Sąd	Stan	Wartość	Poszkodowani
TikTok child privacy class actions (US)	US federal	Ugody	92 mln USD (2022) + kolejne	Dzieci USA

---

Wnioski dla obywateli

Co to dla mnie znaczy?

Jeśli twoje dziecko używa TikTok — przed 2021 konto było prawdopodobnie publiczne domyślnie. Twoje dziecko mogło mieć setki tysięcy obserwujących, z których większość to nieznajomi. Jego posty, komentarze, lokalizacja mogły być widoczne globalnie. Po 2021 domyślnie prywatne dla <16 lat — ale nadal sprawdzaj.

Jak chronić dziecko?

1. Minimalny wiek 13 lat — TikTok tego wymaga, ale wiele dzieci kłamie. Nie twórz konta dla dziecka <13 lat.
2. Konto prywatne: Ustawienia → Prywatność → Private Account → ON.
3. Family Pairing — skonfiguruj z własnego konta rodzica. Ustaw:
   • Screen Time Management
   • Restricted Mode (filtr treści)
   • Direct Messages: OFF dla <16, ograniczone dla 16–17.
   • Who can send me messages / Who can comment on my videos / Who can see my liked videos: Only Friends / Followers
4. Disable personalized ads w Ustawieniach.
5. Rozmowa z dzieckiem — TikTok jest zaprojektowany by wciągnąć (algorytm). Wypracuj rodzinną strategię ekranów.
6. Nie Follow Anyone / Add Contacts automatycznie — w Ustawieniach.

Dla nastolatków 13–17 lat

7. Sprawdź ustawienia regularnie — TikTok zmienia interfejs, defaults mogą się zmieniać.
8. Nie udostępniaj lokalizacji, numeru telefonu, adresu szkoły w profilu lub postach.
9. Zablokuj nieznajomych — TikTok ma funkcję Block. Nie wahaj się jej używać.
10. Uważaj na “challenges” — niektóre są niebezpieczne fizycznie.

Jakie mam prawa?

W UE (RODO + Children’s Code):

• Art. 8 RODO — dzieci <16 lat (lub niższego wieku w krajowym prawie, PL: 16) wymagają zgody rodzica na przetwarzanie.
• Art. 17 — prawo do bycia zapomnianym — szczególnie silne dla dzieci.
• Polska: UODO aktywnie promuje ochronę dzieci. Kampania “Chroń dziecko w sieci”.

W UK:

• Children’s Code — 15 standardów dla usług dostosowanych do dzieci.

Gdzie się zgłosić?

• Polska: UODO, NASK (CERT Polska), Dyżurnet.pl (szkodliwe treści), Helpline.org.pl (wsparcie dla dzieci i rodziców)
• UE: krajowy DPA
• UK: ICO

Uwaga dla mediatorów, prawników, pedagogów

W sprawach rozwodowych z ustaleniem kontaktów z dzieckiem:

• Konto TikTok dziecka może być wektorem kontaktu z rodzicem niemającym opieki. Uzgodnić: czy rodzic może obserwować dziecko na TikTok? Czy może DM?
• Family Pairing dziecka z którym rodzicem? Obojga?

W sprawach przemocy domowej:

• Konto TikTok dziecka może być śledzone przez byłego partnera rodzica. Zmień hasła, wyczyść followers.

Dla szkół:

• Nie używaj TikTok jako oficjalnego kanału komunikacji. RODO art. 8 wymaga zgody rodzica.
• “Challenges” niebezpieczne — szkoły w wielu krajach (m.in. Francja, Hiszpania) zgłaszały do DPA.

---

Ciekawostki

• 1,4 mln brytyjskich dzieci <13 lat — skala ICO. To więcej niż cała populacja Birmingham. Te dzieci nie powinny były mieć kont, ale TikTok ich nie weryfikował.
• TikTok same zreformował przed dochodzeniem — w 2021, zanim DPC oficjalnie rozpoczęło inquiry. Argument obrony: “już naprawiliśmy”. DPC odpowiedź: naprawienie po fakcie nie uchyla odpowiedzialności za okres naruszenia.
• Family Pairing jako grooming vector — potencjał, że każdy dorosły mógł sparować się z kontem dziecka (brak weryfikacji relacji), był najmocniejszym argumentem DPC. To klasyczny przypadek privacy by design failure.
• “Dark patterns” w wiążącej decyzji EDPB — pierwsza taka sprawa. Fińska przewodnicząca Anu Talus: “Options related to privacy should be provided in an objective and neutral way, avoiding any kind of deceptive or manipulative language or design.” Cytat stał się wzorcem.
• Berlin vs Italy objections — ciekawa dynamika. Berlin chciał więcej (mylące interfejsy). Italy chciał cofnąć decyzję DPC o compliance z art. 25 (age verification). Skrajne pozycje, EDPB zajęła średnią.
• Helen Dixon — DPC Commissioner 2014–2024. Najdłużej służąca w historii regulatora. Krytykowana za powolność egzekwowania, ale w 2022–2023 jej biuro wyegzekwowało ponad 2 mld EUR kar. Wzmocniła reputację DPC.
• John Edwards — UK ICO Commissioner od 2022. Wcześniej New Zealand Privacy Commissioner. Znany z asertywnego stylu. ICO kara TikTok była jedną z pierwszych jego dużych decyzji.
• Instagram 405 mln EUR (2022) — analogiczna sprawa. DPC egzekwował Meta za to samo przed TikTok. Wzorzec: publiczne domyślne konta nastolatków + business email/phone visible. Meta przegrał osobno (A09).
• Children’s Code UK jako globalny eksport — Kalifornia skopiowała (CAADCA 2022), ale sąd kalifornijski zablokował ustawę w 2024 (wolność słowa). UK oryginał działa.
• TikTok odwołuje się — październik 2023 wniesienie judicial review w High Court Ireland. Argumenty: proporcjonalność, brak oral hearing, niezgodność polskiego prawa z Kartą. W przypadku wygranej TikTok, kary DPC mogą być podważone.
• Polski wymiar — TikTok w Polsce ~16 mln użytkowników, w tym szacunkowo 3+ mln dzieci. UODO nie wszczął osobnego postępowania (sprawa pod DPC Irlandia). Polskie szkoły i pediatrzy coraz ostrzejsi wobec TikTok.
• “TikTok Kids” — odrębna wersja, dostępna w niektórych krajach (ograniczone treści). W Polsce nie dostępna. Polscy rodzice: brak opcji “safe” poza pełną restrykcją.
• PHMSA TikTok Amendment (2024) — amerykańska ustawa wprowadzająca dodatkowe obowiązki platform dot. dzieci. Echa DPC i ICO spraw.
• Post-GDPR children’s case pipeline — po sprawie TikTok DPC przyjął podobne podejście wobec Snap (w postępowaniu), Twitch, Roblox. Regulator uczy się.
• 2024 EDPB Statement (grudzień 2024) dotyczący AI training opiera się na precedensach dzieci (TikTok, Instagram). Logika: dzieci nie mogą udzielić świadomej zgody, więc ich dane nie powinny być używane do trenowania AI. Dotyczy LinkedIn (C05) i innych.
• 92 mln USD pozew zbiorowy w USA (2022) — osobna ugoda, BIPA Illinois i federalne pozwy. Wypłata: ~2 USD per dziecko. Symbolicznie mała.

---

Źródła

1. Data Protection Commission Ireland, “DPC announces €345 million fine of TikTok”, 15 września 2023. URL: https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-345-million-euro-fine-of-TikTok

2. European Data Protection Board, “Following EDPB decision, TikTok ordered to eliminate unfair design practices concerning children”, 15 września 2023.

3. UK Information Commissioner’s Office, “ICO fines TikTok £12.7 million for misusing children’s data”, 4 kwietnia 2023.

4. TikTok Technology Limited v. Data Protection Commission, Irish High Court, October 2023 — judicial review proceedings.

5. BDO, “TikTok Receives Significant GDPR Fine for Mishandling Children’s Data”, luty 2025.

6. Baker Botts, “TikTok’s €345 Million Fine for GDPR Violations on Child Data Protection”, listopad 2023.

7. McCann FitzGerald, “Data Protection Commission fines TikTok €345 million”, wrzesień 2023.

8. IAPP, “Ireland’s DPC issues 345M euro TikTok children’s privacy fine”, 15 września 2023.

9. Hunton, “Irish Regulator Fines TikTok 345 Million Euros”, wrzesień 2023.

10. Anu Talus, EDPB Chair, oświadczenia publiczne 2023.

11. Burges Salmon, “TikTok fined €345 million by Irish Data Protection Commission”, 2024.

12. UK Age Appropriate Design Code (Children’s Code), 2 września 2020.

13. 5Rights Foundation, raporty o ochronie dzieci online, 2019–2024.

14. EDPB Binding Decision 02/2023, sierpień 2023.

15. Irish Times, “TikTok can pursue challenge to €345m fine”, 23 października 2023.

---

Ostatnia aktualizacja: 2026-04-18 Karta w bazie: E02_tiktok_children.md