TikTok, jedna z największych platform społecznościowych, została ukarana przez irlandzką komisję ds. ochrony danych grzywną w wysokości 530 mln euro za brak ochrony danych swoich użytkowników i możliwy dostęp do nich dla chińskich służb wojskowych i cywilnych.
Irlandzka komisja ds. ochrony danych DPC stwierdziła, że TikTok, platforma społecznościowa będąca własnością chińskiej firmy ByteDance, nie mógł udowodnić, że dane osobowe użytkowników z Unii Europejskiej, z których część jest dostępna dla pracowników w Chinach, są objęte takim poziomem ochrony, jaki jest przewidziany w prawie UE. Platformę ukarano grzywną 530 mln euro i nakazano jej zawieszenie transferu danych do Chin, jeśli ich przetwarzanie nie zostanie dostosowane do wymogów UE w ciągu sześciu miesięcy.
Oznacza to, że dane użytkowników z Unii Europejskiej, a nawet więcej – z całego Europejskiego Obszaru Gospodarczego – mogą być dostępne dla chińskiego wywiadu i kontrwywiadu zarówno wojskowego, jak i służb cywilnych.
„TikTok nie zajął się potencjalnym dostępem chińskich władz do danych osobowych EOG na mocy chińskich przepisów antyterrorystycznych, kontrwywiadowczych i innych przepisów uznanych przez TikToka za istotnie odbiegające od standardów UE” – oświadczył Graham Doyle, zastępca komisarza DPC.
TikTok jest jedną z ulubionych platform społecznościowych nastolatków na całym świecie i ma już 175 mln użytkowników. Kierownictwo platformy stwierdziło, że odwoła się od decyzji DPC w całości i że nigdy nie otrzymało wniosku o europejskie dane użytkowników od chińskich władz i nigdy nie przekazało im takich danych. Firma dodała w oświadczeniu, że wykorzystuje ramy prawne Unii Europejskiej, w szczególności tzw. standardowe klauzule umowne, by dostęp do danych był ograniczony i kontrolowany.
Decyzja ta ma nie uwzględniać także środków bezpieczeństwa danych wprowadzonych w pełni w 2023 roku, które mają na celu monitorowanie dostępu i zapewniają, że dane użytkowników są „bezpiecznie przechowywane w dedykowanych centrach danych w Europie i Stanach Zjednoczonych”.
„To orzeczenie grozi ustanowieniem precedensu o daleko idących konsekwencjach dla firm i całych branż w całej Europie, które działają na skalę globalną” – stwierdził TikTok w oświadczeniu.
Jednak analitycy służb wojskowych sceptycznie patrzą na te oświadczenia.
„Chińskie służby wywiadowcze, wojskowe i cywilne, nie musza składać do firm żadnych wniosków. Na mocy ustawy o obowiązkowym udostępnianiu danych służbom państwowym ich ludzie po prostu przychodzą do firmy i mówią „potrzebujemy danych osób z takiego, a takiego miasta i kraju”. I nikt im się nie sprzeciwi, jeśli mają właściwe pełnomocnictwa, po prostu dostają co chcą” – powiedział ISBiznes.pl polski analityk wojskowy.
DPC poinformował także, iż przez cały czteroletni okres dochodzenia TikTok twierdził, że nie przechowuje danych użytkowników na serwerach Chinach, ale w lutym br. stwierdzono, że część danych była jednak przechowywana w Chinach choć później została usunięta.
„DPC traktuje te ostatnie działania bardzo poważnie. Rozważamy, jakie dalsze działania regulacyjne mogą być uzasadnione” – powiedział zastępca komisarza DPC Graham Doyle.
Oprócz badania kwestii prywatności, TikTok jest również przedmiotem dochodzenia dotyczącego zasad moderowania treści i ustawy o usługach cyfrowych z powodu podejrzeń, że nie zadziałał, prawdopodobnie umyślnie, aby powstrzymać fałszywe konta i trollkonta oraz aktorów państwowych (chodziło głównie o Rosję) przed ingerencją w zeszłoroczne wybory prezydenckie w Rumunii.
Jest to już drugi raz, kiedy TikTok został ukarany przez DPC. W 2023 r. nałożono na niego grzywnę w wysokości 345 mln euro za naruszenie przepisów o ochronie prywatności dotyczących przetwarzania danych osobowych dzieci w UE.
Według rozporządzenia Unii Europejskiej o ochronie danych osobowych, znanego w Polsce jako RODO, obejmującym nie tylko UE, ale także i inne państwa Europejskiego Obszaru Gospodarczego, jak Islandia, Norwegia i Liechtenstein, regulator krajowy w miejscu prowadzenia działalności danej firmy może nałożyć grzywny w wysokości do 4% jej globalnych przychodów.
DPC jest jednym z najsilniejszych regulatorów rządowych w całej Unii Europejskiej działającym w otoczeniu największych światowych koncernów IT oraz firm technologicznych z tego względu, że Irlandia jest częstą siedzibą ich europejskich oddziałów. Regulator ten, odkąd otrzymał uprawnienia do nakładania sankcji w 2018 r., nakładał już grzywny na takie firmy, jak LinkedIn, X i Meta oraz Microsoft. Obecna kara jest trzecią najwyższą karą na mocy przepisów RODO po wcześniejszych grzywnach w wysokości 1,2 mld euro nałożonych na Meta Platforms i 746 mln euro nałożonych na Amazon.com.
