Irlandzka Komisja Ochrony Danych Osobowych (DPC) nałożyła na TikToka ogromną karę finansową w wysokości 530 milionów euro, czyli około 2,3 miliarda złotych. Sankcja ta wynika z naruszenia europejskich przepisów dotyczących ochrony danych osobowych (RODO), konkretnie w zakresie przekazywania danych użytkowników z Europejskiego Obszaru Gospodarczego (EOG) do Chin.
Zgodnie z decyzją DPC, TikTok naruszył unijne przepisy RODO, przekazując dane osobowe użytkowników z EOG do Chin bez odpowiedniego zapewnienia, że dane te są chronione na poziomie równoważnym z tym, który obowiązuje na terenie Unii Europejskiej. Firma nie była w stanie wykazać, że dane przetwarzane w Chinach – a konkretnie dostępne dla pracowników z tamtego regionu – są właściwie zabezpieczone, co stanowi podstawowe wymaganie europejskich regulacji. TikTok nie spełnił również wymogów przejrzystości w zakresie informowania użytkowników o szczegółach przetwarzania ich danych.
Zdjęcie przedstawiające interfejs TikToka w kontekście tej sprawy stało się symbolem narastających problemów platformy w Europie. Działania irlandzkiego organu nadzorczego są częścią szerszej polityki UE, która ma na celu zagwarantowanie obywatelom Wspólnoty odpowiedniego poziomu ochrony danych osobowych, bez względu na to, gdzie są one przetwarzane.
Komisarz zastępczy DPC, Graham Doyle, podkreślił w oficjalnym oświadczeniu, że prawo europejskie wymaga zapewnienia takiego samego poziomu ochrony danych wszędzie tam, gdzie są one przetwarzane. W przypadku TikToka, główny zarzut dotyczył braku weryfikacji, braku rzetelnej oceny ryzyka oraz potencjalnego dostępu do danych przez chińskie władze w ramach tamtejszych ustaw antyterrorystycznych i dotyczących przeciwdziałania szpiegostwu. Te akty prawne zasadniczo różnią się od europejskich standardów ochrony danych i niosą ze sobą ryzyko nieuprawnionego dostępu do danych Europejczyków.
Dodatkowym ciosem dla wizerunku TikToka jest fakt, że platforma początkowo zapewniała, że dane użytkowników z EOG nie są przechowywane w Chinach. Jednak w lutym bieżącego roku firma odkryła, że „ograniczone” dane rzeczywiście były przechowywane na serwerach w Chinach. Co więcej, TikTok przyznał, że informacja przekazana wcześniej do DPC była błędna. Dopiero niedawno firma zgłosiła ten incydent, deklarując jednocześnie, że dane te zostały już usunięte.
Oprócz wysokiej kary finansowej TikTok został zobowiązany do dostosowania sposobu przetwarzania danych do obowiązujących przepisów RODO w ciągu najbliższych sześciu miesięcy. Jeśli firma tego nie zrobi, może to skutkować całkowitym zawieszeniem transferu danych użytkowników do Chin.
Sprawa ta rzuca nowe światło na kwestię zaufania do platform technologicznych operujących globalnie, których serwery, zespoły analityczne i centra zarządzania danymi rozsiane są po całym świecie. Dla użytkownika końcowego – często nieświadomego zawiłości prawnych – informacje o tym, gdzie trafiają jego dane i kto ma do nich dostęp, nabierają coraz większego znaczenia. Europejskie organy nadzorcze coraz mocniej akcentują potrzebę przejrzystości i odpowiedzialności, co wymusza na globalnych korporacjach dostosowanie się do surowych norm obowiązujących na Starym Kontynencie.
Decyzja DPC może stać się również sygnałem ostrzegawczym dla innych gigantów technologicznych, by inwestować w lokalne serwery, mechanizmy kontroli dostępu i przejrzystą komunikację z użytkownikiem, jeśli chcą uniknąć podobnych konsekwencji finansowych i reputacyjnych.
