Irska: 530 milijonov EUR za TikTok
Irski nadzorni organ je TikTok kaznoval in mu odredil več korektivnih ukrepov zaradi nezakonitih prenosov podatkov uporabnikov na Kitajsko.
Odločitev je bila objavljena 2.5.2025
Irski nadzorni organ (DPC) je objavil svojo končno odločitev po preiskavi družbe TikTok Technology Limited (TikTok). To preiskavo je sprožil DPC v vlogi vodilnega nadzornega organa, da bi preučil zakonitost prenosov osebnih podatkov EU uporabnikov platforme v Ljudsko republiko Kitajsko (Kitajska). Poleg tega so v preiskavi preučili, ali je zagotavljanje informacij uporabnikom v zvezi s temi prenosi izpolnjevalo zahteve glede preglednosti, kot jih določa GDPR.
V odločitvi, ki sta jo sprejela komisarja za varstvo podatkov, dr. Des Hogan in g. Dale Sunderland in je bila poslana TikTok-u, so odločili, da je TikTok kršil GDPR glede prenosov uporabniških podatkov iz EGP na Kitajsko in zahteve glede preglednosti. V odločitvi je nadzorni organ podjetju izrekel upravno globo v skupni višini 530 milijonov evrov in jim odredil, da v šestih mesecih uskladijo obdelavo podatkov s področnimi predpisi. Odločitev vključuje tudi odredbo o začasni ustavitvi prenosov podatkov uporabnikov TikToka na Kitajsko, če obdelava v tem roku ne bo ustrezno usklajena z zakonodajo.
Namestnik komisarja DPC Graham Doyle je izjavil:
»GDPR zahteva, da se visoka raven varstva, ki jo zagotavlja Evropska unija, nadaljuje tudi pri prenosu osebnih podatkov v druge države. Prenosi osebnih podatkov TikToka na Kitajsko so kršili GDPR, ker TikTok ni preveril, zagotovil in dokazal, da so osebni podatki uporabnikov EGP, do katerih imajo zaposleni na Kitajskem dostop na daljavo, deležni ravni varstva, ki je v bistvu enakovredna tisti, ki je zagotovljena v EU. Ker TikTok ni opravil potrebnih ocen, TikTok ni obravnaval morebitnega dostopa kitajskih organov do osebnih podatkov uporabnikov iz EGP v skladu s kitajskimi zakoni o boju proti terorizmu, vohunjenju in drugimi zakoni, za katere je TikTok ugotovil, da bistveno odstopajo od standardov EU.«
DPC je 21. februarja 2025 v mehanizem sodelovanja GDPR predložil osnutek odločitve, kot to zahteva 60. člen GDPR, na osnutek pa niso prejeli ugovora. DPC se zahvaljuje za sodelovanje in pomoč drugih nadzornih organov EU/EGP v tem primeru.
Napačne informacije, predložene med preiskavo
Med preiskavo je TikTok nadzornem organu zatrdil, da ne shranjuje podatkov uporabnikov iz EGP na strežnikih, ki se nahajajo na Kitajskem. Vendar je TikTok aprila 2025 obvestil DPC o težavi, ki jo je odkril februarja 2025, ko so bili omejeni podatki uporabnikov EGP dejansko shranjeni na strežnikih na Kitajskem, kar je v nasprotju z dokazi, ki jih je TikTok predložil med preiskavi. TikTok je DPC obvestil, da to pomeni, da je TikTok med preiskavo posredoval netočne informacije.
Namestnik komisarja Doyle je še dodal:
»DPC jemlje te nedavne dogodke v zvezi s shranjevanjem podatkov uporabnikov iz EGP na strežnikih na Kitajskem zelo resno. Čeprav je TikTok obvestil DPC, da so bili podatki zdaj izbrisani, v posvetovanju z našimi kolegi nadzornimi organi v EU preučujemo, kakšni nadaljnji regulativni ukrepi bi lahko bili potrebni,.«
DPC bo celotno odločitev in nadaljnje s tem povezane informacije objavil naknadno.
Vir: DPC
Naslovna slika: RawPixel
