A bírság a GDPR alapján valaha kiszabott harmadik legnagyobb összeg.
Az ír adatvédelmi hatóság (Data Protection Commission, DPC) 530 millió euróra büntette a TikTokot, amiért az az európai felhasználók személyes adatait jogellenesen továbbította Kínába. A döntés egy 2021 szeptemberében indult vizsgálat lezárása, amely során a DPC megállapította: a kínai tulajdonú közösségimédia-platform megsértette az EU Általános Adatvédelmi Rendeletét (GDPR). A TikToknak most hat hónapja van arra, hogy teljeskörűen megfeleljen az uniós jogszabályoknak.
A GDPR különösen szigorú az EU-ból más országba történő adattovábbításokkal szemben, főleg akkor, ha az adott ország – mint most Kína – nem biztosít megfelelő szintű védelmet. Ezért a kínai kormányhoz kötődő cégek – mint a TikTok anyavállalata, a pekingi székhelyű ByteDance – mondhatni szálkák az európai szabályozók szemében.
Graham Doyle adatvédelmi biztoshelyettes elmondta, a GDPR megköveteli, hogy a személyes adatok más országokba történő továbbítása esetén is fennmaradjon az Európai Unión belül biztosított magas szintű védelem. Hozzátette: a TikTok azzal sértette meg a GDPR-t, hogy nem ellenőrizte, nem garantálta és nem bizonyította, hogy az Európai Gazdasági Térségben (EGT) élő felhasználók személyes adatai, amelyekhez a kínaiak távolról hozzáférnek, az EU-ban garantált biztonsággal egyenértékű védelmet élveznek.
Szerinte a TikTok nem végezte el a szükséges értékeléseket, és nem foglalkozott azzal, hogy a kínai hatóságok a terrorizmus elleni, kémelhárítási és egyéb, az uniós normáktól lényegesen eltérőnek minősített kínai jogszabályaik alapján a videómegosztón keresztül potenciálisan hozzáférhessenek az EGT-ben élők személyes adataihoz.
A TikTok azt állította, hogy nem tárol adatokat az EGT-felhasználókról Kínában található szervereken. Idén áprilisban viszont tájékoztatta a DPC-t egy februárban felfedezett problémáról, miszerint korlátozott számú EGT-felhasználói adatot mégiscsak tároltak Kínában, ellentétben a TikTok által benyújtott bizonyítékokkal – derül ki az euractiv írásából.
Doyle elmondta, hogy bár a cég azt állította, hogy az adatokat törölték, az uniós adatvédelmi hatóságokkal konzultálva mérlegelik, hogy ez esetben milyen további szabályozási intézkedések indokoltak.
A TikTok bejelentette, hogy fellebbez a döntés ellen. Egyik szóvivőjük szerint a kínai kormány vagy más állami szerv soha nem kérte hivatalosan, hogy hozzáférhessen az európai felhasználók személyes adataihoz, amelyeket a platform kezel. Közleményük szerint az ítélet „messzemenő következményekkel járhat azokra a vállalatokra és iparágakra, amelyek globálisan működnek” és „csapást mérhet az Európai Unió versenyképességére”.
Nem ez a vállalat első bírsága
A TikTok számára azonban ez már nem az első szankció,
ugyanis 2023 szeptemberében 345 millió eurós büntetést kapott a gyermekek adatainak nem megfelelő kezelése miatt 2020. július 31. és 2020. december 31. között,
így az összesített GDPR-bírságai már 875 millió euróra rúgnak.
Emellett az Egyesült Királyság adatvédelmi hivatala 12,7 millió fontra (kb. 14,9 millió euró) büntette a céget, amiért nem védte a 13 év alatti gyermekek magánéletét.
A kínai tulajdonban lévő közösségimédia-alkalmazás ugyanis nem ellenőrizte, hogy kik használják a platformot, és nem távolította el a kiskorúak fiókjait. Ezzel az Információs Biztos Hivatala (ICO) becslése szerint
2020-tól 1,4 millió brit gyermek is hozzáférhetett a platformhoz, holott ez ellentétes a TikTok saját irányelveivel.
Az Egyesült Királyság törvényei előírják, hogy a gyermekek személyes adatait felhasználó szervezeteknek be kell szerezniük a szülők vagy gondviselők beleegyezését.
A történet itt még nem ért véget: mindeközben az Európai Bizottság további két külön ügyben vizsgálja a céget a Digitális szolgáltatásokról szóló törvény (Digital Services Act) alapján. Az egyik az orosz befolyásgyakorlásra vonatkozik a román elnökválasztások kapcsán, a másik pedig gyermekvédelmi aggályokat érint.
