Ze względu na lokalizację europejskiej siedziby platformy sprawą zajmowała się Irlandzka Komisja Ochrony Danych (Data Protection Commission – DPC). Ostateczna decyzja zapadła jednak po konsultacji z organami ochrony danych osobowych w innych państwach Unii Europejskiej i Europejskiego Obszaru Gospodarczego.

TIkTok ma zapłacić karę i zapewnić zgodność z RODO

Oprócz kar finansowych w łącznej wysokości 530 mln euro DPC nakazał platformie zapewnienie zgodności przetwarzania danych z RODO w ciągu sześciu miesięcy – w przeciwnym razie zacznie ją obowiązywać zakaz transferu danych do Chin. Przekazywanie danych obywateli UE i EOG do państw spoza tego obszaru jest możliwe tylko pod warunkiem zapewnienia ochrony na poziomie równoważnym z tym, jaki gwarantuje RODO.

- TikTok nie zweryfikował, nie zagwarantował i nie wykazał, że dane osobowe użytkowników z EOG, do których zdalnie uzyskuje dostęp personel w Chinach, były objęte równoważnym poziomem ochrony – stwierdza zastępca komisarza DPC Graham Doyle. Jak dodaje, w wyniku nieprzeprowadzenia niezbędnych ocen TikTok nie zajął się potencjalnym dostępem chińskich władz do danych osobowych z EOG. Taki dostęp umożliwiają władzom Państwa Środka m.in. tamtejsze przepisy antyterrorystyczne i kontrwywiadowcze.

Czy TikTok przesyła nasze dane do Chin?

W trakcie prowadzonego przez DPC dochodzenia platforma – mająca w Europie 175 mln użytkowników – początkowo poinformowała organ, że nie przechowuje danych użytkowników z EOG na serwerach zlokalizowanych w Chinach. Jednak w kwietniu br. TikTok zawiadomił DPC o odkrytym w lutym br. problemie. Okazało się wtedy, że część danych użytkowników z EOG była faktycznie przechowywana na serwerach w Chinach.

To sprzeczne z zasadami tzw. projektu Clover wdrożonego przez platformę w 2023 r. – zgodnie z którym dane europejskich użytkowników są przechowywane w centrach danych w Europie i Stanach Zjednoczonych.

Czy chińskie władze miały dostęp do danych osobowych z EOG?

„TikTok konsekwentnie powtarzał: nigdy nie otrzymał od chińskich władz wniosku o przekazanie danych europejskich użytkowników i nigdy nie przekazał im takich danych” – podkreśla w odpowiedzi na decyzję DPC Christine Grahn, dyrektorka TikToka ds. polityki publicznej i relacji z władzami w Europie. - "Nie zgadzamy się z tą decyzją i zamierzamy odwołać się od niej w całości" - dodaje.

TikTok był już karany za naruszenie RODO

Pierwszy raz irlandzki organ ukarał TikToka we wrześniu 2023 r. - każąc mu zapłacić 345 mln euro za naruszenia RODO w odniesieniu do kont niepełnoletnich użytkowników. Chodziło o to, że konta takich użytkowników miały domyślne ustawienia „publicznych” – a więc każdy mógł oglądać i komentować filmiki udostępniane przez dzieci i młodzież. Ponadto DPC ustalił, że w ramach funkcji łączenia kont rodziny (Family Pairing) dziecięce konta można było połączyć także z kontami osób dorosłych niebędących ich rodzicami ani opiekunami. TikTok tego nie sprawdzał, a takie połączenie umożliwiało m.in. przesyłanie dzieciom bezpośrednich wiadomości przez osoby dorosłe podszywające się pod rodziców.