Kazna je treća najveća ikad izrečena prema GDPR-u. TikTok je kažnjen s 530 milijuna eura zbog ilegalnog prijenosa osobnih podataka iz Europe u Kinu u najnovijoj opomeni velikih tehnoloških tvrtki od strane europskog javnog tijela.
Irska komisija za zaštitu podataka (DPC) utvrdila je u petak da je TikTok prekršio Opću uredbu EU o zaštiti podataka (GDPR) i naložila tvrtki da se uskladi s regulativom u roku od šest mjeseci.
Prijenos osobnih podataka iz EU u Kinu strogo je ograničen prema GDPR-u, jer se smatra da Kina ima neadekvatnu razinu zaštite osobnih podataka. Europski regulatori posebno su zabrinuti zbog navodnih veza između kineske vlade i vlasnika TikToka, tvrtke ByteDance sa sjedištem u Pekingu.
Odluka u petak označava zaključak istrage pokrenute u rujnu 2021., u kojoj je TikTok u početku rekao DPC-u da ne pohranjuje podatke ispitanika na poslužiteljima koji se nalaze u Kini. U travnju 2025. TikTok je to ispravio i obavijestio DPC da su zbog pogreške neki podaci korisnika EGP-a zapravo pohranjeni na kineskim poslužiteljima, ali da to više nije slučaj.
Tijekom istrage, TikTok je tvrdio da prijenosi putem udaljenog pristupa ne zahtijevaju mehanizam prijenosa kako je propisano člankom 46(1) GDPR-a. U procjeni kineskih zakona koju je TikTok dostavio DPC-u tijekom istrage, TikTok je sam utvrdio da bi kineski pravni okvir isključio utvrđivanje „bitne ekvivalencije“, kako je potrebno, uz donošenje odgovarajućih zaštitnih mjera i dodatnih mjera. U ovoj procjeni, TikTok se pozvao na kineski Zakon o borbi protiv terorizma, Zakon o protušpijunaži, Zakon o kibernetičkoj sigurnosti i Zakon o nacionalnoj obavještajnoj službi.
Istraga je također otkrila da TikTok-ova politika privatnosti za EGP iz listopada 2021. nije navela treće zemlje, poput Kine, u koje su preneseni osobni podaci. Nadalje, politika nije precizirala da osobnim podacima koje TikTok drži u Singapuru i Sjedinjenim Državama osoblje u Kini može pristupiti na daljinu.
Utvrđene činjenice
DPC je utvrdio da je TikTok prekršio članak 46 (1) GDPR-a u pogledu prijenosa osobnih podataka korisnika EGP-a putem udaljenog pristupa u Kinu. TikTok nije provjerio, jamčio i dokazao da su dopunske mjere i standardne ugovorne klauzule (SCC) na koje se pozivao bile učinkovite u osiguravanju da se osobnim podacima korisnika EGP-a pruži razina zaštite koja je u biti jednaka onoj u EU.
TikTok prekršio članak 13 (1) (f) GDPR-a, obvezu voditelja obrade da obavijeste ispitanike o svojoj namjeri da prenesu osobne podatke u treću zemlju u trenutku prikupljanja podataka u pogledu njihove politike privatnosti iz listopada 2021. DPC je utvrdio da TikTok nije ni imenovao dotičnu treću zemlju (Kinu) ni naveo način na koji se ta obrada dogodila (tj. putem udaljenog pristupa).
Za ove prekršaje, DPC je izrekao kaznu od 530 milijuna eura. Ova se iznos sastojao od kazne od 485 milijuna eura za kršenje članka 46 (1) i kazne od 45 milijuna eura za kršenje članka 13 (1) (f). TikToku je također naloženo da uskladi svoju obradu podataka s propisima u roku od šest mjeseci i da obustavi prijenose podataka u Kinu ako to ne učine u tom roku.
TikTok radi na popravljanju svog imidža: uložit će 12 milijardi eura tijekom desetljeća u tri podatkovna centra u Norveškoj – inicijativu poznatu kao Project Clover – a prošli mjesec najavio je planove za četvrti podatkovni centar u Finskoj.
Međutim, nedostatak transparentnosti tvrtke u vezi s prijenosom podataka izazvao je kritike i skepticizam stručnjaka.
Irski regulator bio je odgovoran za istragu jer se TikTokovo sjedište u EU nalazi u toj zemlji. Kazna je treća najveća ikad izrečena tvrtki zbog kršenja GDPR-a: Meta i Amazon su prethodno kažnjeni s 1,2 milijarde eura, odnosno 746 milijuna eura.
TikTokove kazne prema GDPR-u sada iznose ukupno 875 milijuna eura, nakon kazne od 345 milijuna eura u rujnu 2023. zbog zanemarivanja privatnosti podataka djece.
TikTok je pod pomnim nadzorom Europske komisije u dva odvojena slučaja koja se odnose na značajan zakon EU o moderiranju sadržaja i dezinformacijama, Zakon o digitalnim uslugama: jedan zbog navodnog ruskog miješanja u rumunjske predsjedničke izbore, a drugi zbog zabrinutosti za zaštitu djece.
DPC je utvrdio da je TikTok prekršio članak 46 (1) GDPR-a u pogledu prijenosa osobnih podataka korisnika EGP-a putem udaljenog pristupa u Kinu. TikTok nije provjerio, jamčio i dokazao da su dopunske mjere i standardne ugovorne klauzule (SCC) na koje se pozivao bile učinkovite u osiguravanju da se osobnim podacima korisnika EGP-a pruži razina zaštite koja je u biti jednaka onoj u EU.
Ima li vaše društvo profil na Tik Toku? Ukoliko ima ova odluka ima posljedice i na vas jer ste trebali (minimalno): provesti procjenu rizika prijenosa u treće zemlje, adekvatno obavijestiti ispitanike o izvozu, mapirati tijek podataka, provjeriti opće uvjete TikToka, imati adekvatne mehanizme sigurnosne i tehničke zaštite podataka u SCC klazulama.
