Irlandzki Organ Ochrony Danych nałożył na TikToka karę w wysokości 530 milionów euro i nakazał podjęcie środków naprawczych w następstwie dochodzenia w sprawie przekazywania danych użytkowników z EOG do Chin
Irlandzki Organ Ochrony Danych (DPC) ogłosił swoją ostateczną decyzję w następstwie dochodzenia w sprawie TikTok Technology Limited. Dochodzenie zostało wszczęte przez DPC, wiodący organ nadzorczy dla TikToka, w celu zbadania zgodności z prawem przekazywania przez platformę danych osobowych jej użytkowników w EOG do Chińskiej Republiki Ludowej. Ponadto w dochodzeniu zbadano, czy przekazywanie informacji użytkownikom w związku z takimi transferami spełniało wymogi przejrzystości TikToka zgodnie z wymogami RODO.
Decyzja, która została podjęta przez komisarzy ds. ochrony danych, dr Desa Hogana i Dale’a Sunderlanda, o której powiadomiono TikToka, stwierdza, że naruszył RODO w zakresie przekazywania danych użytkowników z EOG do Chin oraz wymogi dotyczące przejrzystości.
Decyzja obejmuje:
- • kary administracyjne w łącznej wysokości 530 milionów euro,
- • nakaz zobowiązujący TikToka do zapewnienia zgodności przetwarzania danych w ciągu 6 miesięcy,
- • nakaz zawieszenia transferów danych do Chin, jeśli przetwarzanie nie zostanie dostosowane w tym terminie.
Zastępca komisarza DPC Graham Doyle skomentował:
„RODO wymaga, aby wysoki poziom ochrony zapewniany w Unii Europejskiej był kontynuowany w przypadku, gdy dane osobowe są przekazywane do innych krajów. Przekazywanie danych osobowych przez TikToka do Chin naruszyło RODO, ponieważ nie zweryfikował, nie zagwarantował i nie wykazał, że dane osobowe użytkowników z EOG, do których zdalny dostęp mieli pracownicy w Chinach, były objęte poziomem ochrony zasadniczo równoważnym z poziomem gwarantowanym w UE.
W wyniku niepodjęcia przez TikToka niezbędnych ocen, nie zajął się potencjalnym dostępem chińskich władz do danych osobowych EOG na mocy chińskich przepisów antyterrorystycznych, kontrwywiadowczych i innych przepisów zidentyfikowanych przez TikToka jako istotnie odbiegające od standardów UE”. W dniu 21 lutego 2025 r. DPC przedłożył projekt decyzji w ramach mechanizmu współpracy RODO, zgodnie z wymogami art. 60 RODO. Nie zgłoszono żadnych zastrzeżeń do projektu decyzji DPC. Organ irlandzki jest wdzięczny za współpracę i pomoc w tej sprawie ze strony innych organów nadzorczych UE/EOG.
Błędne informacje przekazane w toku dochodzenia
W trakcie dochodzenia TikTok informował DPC, że nie przechowuje danych użytkowników z EOG na serwerach zlokalizowanych w Chinach. Jednak w kwietniu 2025 r. poinformował DPC o problemie, który odkrył w lutym 2025 r., w którym ograniczone dane użytkowników z EOG były w rzeczywistości przechowywane na serwerach w Chinach, wbrew dowodom złożonym w dochodzeniu. TikTok poinformował DPC, że odkrycie to oznaczało, że przedstawił w dochodzeniu niedokładne informacje.
Zastępca komisarza Doyle dodał, że:
„DPC bardzo poważnie traktuje ostatnie wydarzenia dotyczące przechowywania danych użytkowników z EOG na serwerach w Chinach. Chociaż TikTok poinformował DPC, że dane zostały już usunięte, rozważamy, jakie dalsze działania regulacyjne mogą być uzasadnione, w porozumieniu z naszymi równorzędnymi organami ochrony danych w UE”. Organ irlandzki opublikuje pełną decyzję i dalsze powiązane informacje w odpowiednim czasie.
