Odvjetnici TikToka neprestano su upozoravali direktore da tvrtka možda krši zakone o privatnosti – ali oni nisu reagirali
Matična kompanija TikToka, ByteDance, možda je prekršila zakone u SAD-u i Europskoj uniji jer nema politiku čuvanja internih korporativnih podataka, kaže sedam trenutnih i bivših zaposlenika tvrtke, a isto pokazuju i stotine internih dokumenata i razgovora koje je pregledao Forbes.
Interni materijali pokazuju kako su TikTokovi pravni stručnjaci jasno upozoravali lidere u tvrtci, uključujući čelnicu za globalnu sigurnost Kim Albarellu, da bi nedostatak ByteDanceove politike oko upravljanja internim dokumentima mogalo zaprijetiti poslovanju tvrtke u SAD-u i Europskoj uniji. U jednom spisu iz proljeća 2023. godine stručnjak za internu politiku privatnosti izražava olakšanje što regulatori još nisu primijetili da kompanija ne slijedi propise.
Zaposlenici su izrazili zabrinutost da bi tvrtka mogla kršiti američki zakon FTC i europski GDPR. Pravila oko čuvanja i brisanja korporativnih podataka, iako naoko dosadna, od iznimne su važnosti jer sprječavaju da tvrtke izbrišu dokaze o nepravilnostima i štite privatnost ljudi čije informacije su pohranjene u korporativnim arhivama.
Sedam izvora za Forbes kaže kako ByteDance ta pravila nije imao godinama, što je previd koji bi mogao imati katastrofalne posljedice za kompaniju koja se već nalazi pod istragom američke vlade, a suočava se i s globalnim kritikama zbog praksi oko privatnosti podataka. Neki se brinu da bi ovako nešto moglo u opasnosti dovesti i brzorastući biznis online prodaje u kompaniji: trgovina TikTok Shop u SAD-u je pokrenuta prošlog rujna, a ove godine cilj im je dosegnuti 17,5 milijardi dolara prihoda.
U komunikacijama koje je pregledao Forbes, zaposlenici objašnjavaju da nedostatak politike o čuvanju podataka znači da tvrtka nije u skladu sa standardom o sigurnosti podataka PCI, što bi, ako se otkrije, tvrtku moglo u potpunosti spriječiti da obrađuje kartične transakcije. U dokumentu s kraja 2022. godine stoji kako je značajka TikTok Live “pokrenuta bez uzimanja u obzir usklađenje s PCI-jem.”
Interni materijali koje je pregledao Forbes, od kojih su mnogi zaštićeni privatnošću između odvjetnika i klijenta, otkrivaju jurnjavu početkom 2023. godine kako bi se kreirala i pokrenula politika za dokumente koji se odnose na kreditne kartice, što bi poslovanje tvrtke dovelo u sklad s uvjetima. Ipak, u ožujku 2023., Albarella je zaposlenicima rekla da tvrtka neće ubrzano donijeti politiku o vlasnicima kartica, već će umjesto toga izgraditi i pokrenuti detaljnu politiku, pokazuju materijali. Problem je bio u tome što su zaposlenici rekli da će za to trebati godina do dvije dana, a u tom periodu tvrtka ne bi poslovala u skladu s pravilima.
U odgovoru na popis detaljnih pitanja o internim materijalima, glasnogovornik TikToka Alex Haurek objavio je sljedeću izjavu: “Vjerujemo kako su ti navodi temeljeni na zastarjelim dokumentima koje su uglavnom pripremali zaposlenici koji više ne rade za kompaniju, koji nisu imali uvide u sav naš rad na tom području, i koji sada pokušavaju provesti neku svoju agendu bez razmišljanja o činjenicama.” Haurek je rekao kako je rok od jedne do dvije godine “izvučen iz dokumenta koji je pripremio samo jedan zaposlenik, a taj rok nije potvrđen.”
Odgovarajući na interne dokumente o TikTokovoj usklađenosti s PCI-jem, Haurek je napisao. “Ova neautorizirana izjava ne oslikava točno usklađenost tih proizvoda s PCI-jem. Ona je unesena u izvješće, nakon posljednjeg pregleda, od strane zaposlenika koji je otada napustio kompaniju.” Glasnogovornik ByteDancea Mike Hughes dodao je: “Slijedimo standarde industrije na aplikacijama koje su podložne PCI standardima.” Direktno upitan slijedi li ByteDance danas FTC ili GDPR, Hughes je napisao: “Kontinuiramo radimo na tome da ispunimo svoje pravne obveze po pitanju upravljanja podacima.”
Nijedan glasnogovornik nije odgovorio na pitanje u kojoj zemlji, ili zemljama, se čuvaju njihovi korporativni podaci.
Hillary Sale, profesorica vodstva i korporativnog upravljanja na pravnom fakultetu Georgetown, za Forbes kaže kako bi svaka tvrtka veličine TikToka morala imati politiku čivanja podataka i da su to sustavi koje bi svaki startup trebao uvoditi tijekom rasta. Tvrtke bi morale “znati kada i kako čuvati dokumente i osigurati da ljudi u svakom odjelu kompanije shvaćaju važnost toga,” kaže Sale.
Čuvanje korporativnih podataka – i pristupanje tim podacima od strane američkih vladinih dužnosnika – za TikTok ima velike uloge, budući da se tvrtka trenutno nalazi usred višegodišnjih pregovora s Odborom za strana ulaganja u SAD-u. Bidenova administracija prošle je godine zaprijetila da će prisiliti ByteDance da TikTok proda ili se suočiti sa zabranom aplikacije u SAD-u.
TikTok je i pod kaznenom istragom američkog Ministarstva pravosuđa zbog praćenja novinara – uključujući i autorice originalnog članka na Forbesu – a tvrtka je krajem prošle godine dobila i poziv na sud zbog dokumenata povezanih s tom istragom. Ranije je Forbes izvještavao kako su ByteDanceovi vlastiti stručnjaci za borbu protiv prijevare tvrtku upozoravali da ByteDance ne može garantirati da su njihovi odgovori na zahtjeve policije točni, djelomično i zbog neujednačenih praksi čuvanja podataka. U to vrijeme iz tvrtke je rečeno: “Ovaj dokument sastavljen je u jednom odjelu prije gotovo dvije godine, nikada nije bio pokazan nikome unutar kompanije izvan tog odjela, i u velikoj mjeri je netočan, pun zastarjelih detalja koji su postali irelevantni zbog redovitih ažuriranja naših praksi.”
U jesen 2022. godine, odvjetnik TikToka kolegama je rekao da radi s jednim timom na značajki koja bi tvrtci mogla omogućiti da bolje odgovori na upite za dokumente, ali upozorio ih je kako će to biti dugotrajan proces, stoji u dokumentima koje je pregledao Forbes. U to vrijeme, zadatak razvoja politike pao je u ruke TikTokovog tima za osiguravanje obrane i pristupa podacima, no taj taj tim zadatak nije mogao shvatiti kao prioritet zbog drugih, važnijih stvari. Projekt je potom dan stručnjacima za usklađenost podataka u organizaciji za globalnu sigurnost (GSO) tvrtke.
Iste godine, ByteDance je zaposlio Redgrave LLP, tvrtku specijaliziranu za upravljanje korporativnim podacima, kako bi im pomogla kreirati politiku čuvanja dokumenata. Jedno od prvih pitanja koje su vanjski odvjetnici postavili bilo je treba li politika pokrivati samo TikTok ili čitav ByteDance. Bivši globalni čelnik za sigurnost redinom je 2022. u razgovoru rekao Albarelli da bi politika trebala pokrivati čitav ByteDance, jer “ByteDanceov interni sustav ne može se odvojiti od proizvoda.”
Prijedlozi politika od početka 2023. godine, koje su sastavili savjetnici u Redgraveu, pokazuju da su odvjetnici zaista u početku željeli pokriti sve interne dokumente na razini ByteDancea, no kasnije su politiku suzili kako bi se ona odnosila samo na dokumente u vlasništvu TikToka. Iz Redgravea nisu odgovorili na upite za komentar.
Ipak, još uvijek je nejasno ima li tvrtka politiku čuvanja podataka čak i samo za TikTok. Forbes je poslao upite i TikToku i ByteDanceu imaju li danas sveobuhvatnu politiku o čuvanju podataka koja se zaista i provodi.
“Kao i svaka kompanija, čuvamo podatke kako bi ispunili zakonske obveze,” odgovorio je Hughes. Haurek je dodao: “Imamo politike i procedure za upravljanje čuvanja osobnih podataka korisnika TikToka.”
Nijedan od dvojice glasnogovornika nije odgovorio na dodatno pitanje u kojemu se od njih traži da razjasne imaju li danas TikTok i ByteDance politiku čuvanja korporativnih podataka.
Autor originalnog članka: Emily Baker-White, Forbes
Link: TikTok’s Lawyers Repeatedly Warned Executives It Could Be Breaking Data Laws
(Prevela: Nataša Belančić)