UE ukarała TikToka za przekazywanie danych do Chin

Irlandzki Data Protection Commission (DPC) nałożył na TikToka karę w wysokości 530 mln euro za naruszenia przepisów RODO, związane z przekazywaniem danych użytkowników z Europejskiego Obszaru Gospodarczego (EOG) do Chin. Decyzja zapadła w wyniku śledztwa, które rozpoczęło się kilka lat temu, a jego celem było zbadanie poziomu ochrony danych użytkowników oraz transparentności działań platformy.

Rola Irlandii w ochronie danych

Irlandia od lat pełni kluczową rolę w egzekwowaniu unijnych przepisów dotyczących ochrony danych osobowych. Większość globalnych gigantów technologicznych, takich jak TikTok, Meta czy Google, ma swoje europejskie siedziby w tym kraju. W związku z tym DPC jest głównym organem nadzorującym zgodność tych firm z RODO na terenie Unii Europejskiej.

Podejrzenia o przekazywanie danych

Śledztwo wobec TikToka rozpoczęło się z powodu podejrzeń, że dane użytkowników z EOG są przekazywane do Chin bez odpowiednich zabezpieczeń. DPC zbadał, czy TikTok zapewnia poziom ochrony danych równoważny temu, jaki gwarantuje prawo unijne, oraz czy użytkownicy są informowani o tym, gdzie i w jaki sposób ich dane są przetwarzane.

RODO i standardy ochrony danych

Rozporządzenie o ochronie danych osobowych (RODO) jest jednym z najbardziej restrykcyjnych aktów prawnych na świecie w zakresie prywatności. Jego centralnym założeniem jest zakaz przekazywania danych osobowych obywateli UE poza EOG, jeśli kraj docelowy nie zapewnia równoważnego poziomu ochrony. W praktyce oznacza to konieczność stosowania standardowych klauzul umownych oraz wdrażania dodatkowych środków zabezpieczających.

Obawy dotyczące Chin

Europejscy regulatorzy od lat podkreślają, że chińskie prawo, w tym ustawy antyterrorystyczne i o cyberbezpieczeństwie, znacząco odbiegają od standardów unijnych. Otwierają one możliwości dostępu władz do danych przechowywanych przez firmy technologiczne, co budzi obawy o prywatność obywateli UE.

Poprzednie kary dla TikToka

W 2023 roku DPC nałożył na TikToka karę w wysokości 345 mln euro za naruszenia związane z przetwarzaniem danych dzieci. Decyzja ta była sygnałem ostrzegawczym dla całej branży, pokazującym, że regulatorzy nie zawahają się przed użyciem pełni swoich uprawnień wobec największych graczy.

Naruszenia i brak transparentności

DPC wykazał, że TikTok nie był w stanie zagwarantować, że dane użytkowników z EOG są chronione na poziomie równoważnym do tego, jaki gwarantuje prawo unijne. Regulator podkreślił, że platforma nie przeprowadziła odpowiednich ocen ryzyka ani nie wdrożyła skutecznych środków zabezpieczających.

Ujawnienie danych na serwerach w Chinach

W kwietniu TikTok ujawnił, że w lutym wykryto przypadek, w którym dane użytkowników z EOG były przechowywane na serwerach w Chinach. Choć firma poinformowała, że dane te zostały usunięte, incydent ten podważył wiarygodność wcześniejszych zapewnień.

Reakcja TikToka na decyzję DPC

TikTok zapowiedział odwołanie od decyzji DPC, argumentując, że kara dotyczy okresu sprzed maja 2023 roku, kiedy firma rozpoczęła wdrażanie programu Project Clover. Inicjatywa ta ma na celu zwiększenie bezpieczeństwa danych europejskich użytkowników poprzez budowę centrów danych w Europie.

Globalne napięcia wokół TikToka

Decyzja irlandzkiego regulatora wpisuje się w szerszy kontekst globalnych napięć wokół TikToka i chińskich firm technologicznych. W Stanach Zjednoczonych Kongres przyjął ustawę nakazującą ByteDance’owi sprzedaż amerykańskiej części TikToka lub grożącą zakazem działalności aplikacji w tym kraju.

Ryzyko dla firm globalnych

Chińskie regulacje nakładają na firmy technologiczne obowiązek udostępniania danych na żądanie władz, co różni się od podejścia unijnego. Firmy przekazujące dane do Chin muszą liczyć się z ryzykiem, że nie będą w stanie zapewnić użytkownikom z UE wymaganego poziomu ochrony, co było kluczowe w decyzji DPC wobec TikToka.