Πρόστιμο ύψους 530 εκατομμυρίων ευρώ επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στo TikTok, κατηγορώντας την πλατφόρμα για παραβίαση της ευρωπαϊκής νομοθεσίας περί προστασίας προσωπικών δεδομένων εξαιτίας της μεταφοράς δεδομένων χρηστών στην Κίνα.
Συγκεκριμένα, το πρόστιμο περιλαμβάνει:
- 485 εκατ. ευρώ για τις παράνομες μεταφορές δεδομένων προς την Κίνα και
- 45 εκατ. ευρώ για την έλλειψη διαφάνειας στην ενημέρωση των χρηστών, μεταξύ 2020 και 2022.
- Πρόκειται για το τρίτο μεγαλύτερο πρόστιμο που έχει επιβληθεί στην ΕΕ για παραβίαση του GDPR.
Η DPC αναφέρει ότι το TikTok απέτυχε να αξιολογήσει επαρκώς τις επιπτώσεις της κινεζικής νομοθεσίας επιτήρησης στα ευρωπαϊκά δεδομένα. Η κινεζική νομοθεσία επιτρέπει στο κράτος να απαιτεί την πρόσβαση σε δεδομένα χρηστών από οποιαδήποτε εταιρεία με έδρα στην Κίνα, ένα νομικό πλαίσιο που, σύμφωνα με την Αρχή, «αποκλίνει ουσιωδώς» από τις ευρωπαϊκές αρχές προστασίας προσωπικών δεδομένων.
Παράλληλα, η πλατφόρμα δεν ενημέρωνε σαφώς τους χρήστες της ότι τα δεδομένα τους μεταφέρονταν στην Κίνα, παραβιάζοντας τις υποχρεώσεις διαφάνειας του GDPR. Αν και το TikTok αναθεώρησε την πολιτική απορρήτου του το 2022, οι παραβάσεις κατά την προηγούμενη διετία κρίθηκαν ιδιαιτέρως σοβαρές.
Παρότι επί σειρά ετών διαβεβαίωνε πως δεν αποθηκεύει ευρωπαϊκά (ή αμερικανικά) δεδομένα σε κινεζικούς διακομιστές, το TikTok αποκάλυψε στην DPC ότι τον Φεβρουάριο του 2024 ανακάλυψε πως «περιορισμένα δεδομένα χρηστών του ΕΟΧ» είχαν τελικά αποθηκευτεί στην Κίνα.
Η εφαρμογή φέρεται να έχει διαγράψει τα δεδομένα από τους επίμαχους διακομιστές, ωστόσο η DPC εξετάζει ήδη περαιτέρω κανονιστική δράση.
Το TikTok έχει πλέον προθεσμία έξι μηνών για να συμμορφωθεί πλήρως με τον GDPR ή να αναστείλει όλες τις μεταφορές δεδομένων προς την Κίνα.
Το TikTok, από την πλευρά του, δηλώνει ότι διαφωνεί πλήρως με το πόρισμα της DPC και σκοπεύει να το προσβάλει νομικά. Εκπρόσωπός του υποστήριξε ότι το TikTok εφαρμόζει «εκτεταμένα μέτρα ασφαλείας», ανάλογα με εκείνα που χρησιμοποιούν «χιλιάδες άλλες εταιρείες που δραστηριοποιούνται στην Ευρώπη».
Η εταιρεία υπενθυμίζει την επένδυση 12 δισ. ευρώ μέσω του σχεδίου Project Clover, με στόχο τη δημιουργία διακομιστών εντός της ΕΕ και τη διασφάλιση της τοπικής αποθήκευσης δεδομένων. Η DPC αναγνώρισε το εγχείρημα αλλά δεν το έκρινε ικανό να αντισταθμίσει τις παραβάσεις.
«Ποτέ δεν λάβαμε αίτημα από τις κινεζικές Αρχές για δεδομένα Ευρωπαίων χρηστών, ούτε παραδώσαμε ποτέ τέτοια δεδομένα», τόνισε η εκπρόσωπος του TikTok Κριστίν Γκράαν, προσθέτοντας ότι η απόφαση της DPC «δημιουργεί επικίνδυνο προηγούμενο για κάθε πολυεθνική εταιρεία που δραστηριοποιείται στην ΕΕ».
Η υπόθεση του TikTok θέτει με σαφήνεια το ζήτημα της ψηφιακής κυριαρχίας της Ευρώπης και των ορίων εμπιστοσύνης προς εταιρείες που έχουν έδρα ή σύνδεση με κράτη τα οποία δεν υιοθετούν τις ευρωπαϊκές προδιαγραφές προστασίας ιδιωτικότητας.
Η Ιρλανδία, ως χώρα-έδρα πολλών τεχνολογικών κολοσσών, παραμένει το επίκεντρο της εφαρμογής του GDPR στην ΕΕ. Το επόμενο διάστημα αναμένεται να εξεταστούν ακόμη πιο αυστηρά τα μοντέλα μεταφοράς δεδομένων σε τρίτες χώρες, με στόχο την ενίσχυση της διαφάνειας και της εμπιστοσύνης των χρηστών.
