Autoritatea irlandeză pentru protecția datelor (DPC) a amendat TikTok cu 530 de milioane de euro pentru că a transferat datele utilizatorilor europeni în China fără a asigura un nivel de protecție conform GDPR. Ancheta a relevat că angajați din China au accesat date din SEE fără garanții împotriva accesului guvernamental chinez, ale cărui legi de securitate contravin standardelor UE de confidențialitate. Deși TikTok a negat inițial stocarea datelor în China, ulterior a recunoscut un transfer limitat, susținând că datele au fost șterse. DPC consideră lipsa de transparență și transferul în sine încălcări grave. TikTok contestă decizia, menționând măsurile de securitate implementate prin Project Clover, care stochează datele europene în UE. Pe lângă amendă, TikTok are șase luni să se alinieze la GDPR, riscând suspendarea transferurilor de date către China. Cazul ridică întrebări importante despre securitatea datelor transferate internațional.
Extinde rezumatul
Autoritatea irlandeză pentru protecția datelor (DPC) a aplicat o amendă semnificativă de 530 de milioane de euro platformei TikTok, ca urmare a constatării că a permis transferul datelor utilizatorilor din Uniunea Europeană către China fără a garanta un nivel de protecție adecvat în conformitate cu Regulamentul General privind Protecția Datelor (GDPR). Această sancțiune financiară substanțială se numără printre cele mai mari impuse vreodată în baza GDPR, iar investigația a fost condusă de DPC datorită faptului că sediul european al companiei TikTok este situat în Irlanda.
Investigația a scos la iveală că datele utilizatorilor din Spațiul Economic European au fost accesate de angajați ai TikTok din China. Problema centrală identificată de DPC nu a fost neapărat locul de stocare inițial al datelor, ci mai degrabă lipsa unor garanții clare și solide din partea TikTok că aceste informații personale ale cetățenilor europeni nu ar putea fi interceptate sau accesate de către autoritățile statului chinez. Legislația din China, în special legile referitoare la contraspionaj și combaterea terorismului, permite un nivel de intruziune în date care este incompatibil cu standardele riguroase ale Uniunii Europene privind confidențialitatea și protecția datelor personale.
Inițial, TikTok a susținut că nu stochează datele utilizatorilor europeni pe servere localizate în China. Cu toate acestea, în februarie, compania a recunoscut că o cantitate limitată de date a fost totuși salvată în China, contrazicând astfel declarațiile anterioare pe care le-a făcut autorităților de reglementare. Ulterior, TikTok a informat că aceste date au fost șterse. Cu toate acestea, pentru DPC, simplul fapt că transferul de date a avut loc și că platforma nu a fost transparentă în legătură cu aceste practici reprezintă o încălcare gravă a prevederilor GDPR.
TikTok a reacționat la decizia DPC contestând-o și afirmând că aceasta nu reflectă în mod adecvat măsurile de securitate pe care compania le-a implementat între timp. În apărarea sa, TikTok a menționat că ancheta se referă la o perioadă anterioară lansării Project Clover, o inițiativă amplă, cu un buget de 1,2 miliarde de euro, prin care datele utilizatorilor europeni sunt acum stocate în centre de date situate în interiorul Uniunii Europene, sub supravegherea unei firme europene independente. Oficialii TikTok au insistat că nu au primit niciodată cereri de acces la date din partea autorităților chineze și că nu au furnizat datele utilizatorilor europeni guvernului de la Beijing.
Pe lângă amenda financiară considerabilă, DPC a impus companiei TikTok un termen de șase luni pentru a-și alinia complet practicile de gestionare a datelor la cerințele GDPR. Nerespectarea acestui termen ar putea duce la o consecință severă: suspendarea totală a transferurilor de date către China, inclusiv a celor realizate prin acces de la distanță de către personalul TikTok din China. Această decizie a DPC ridică, de asemenea, o problemă mai largă, cu implicații semnificative pentru toate companiile internaționale care utilizează clauze contractuale standard (SCC) pentru transferul de date în afara Uniunii Europene.