Irlandzki organ nadzorczy ds. ochrony danych osobowych (Data Protection Commission – DPC) nałożył gigantyczną karę na TikTok Technology Limited – przedsiębiorstwo odpowiedzialne za serwis internetowy Tiktok w Europie. Kara to aż 530 milionów euro (ok. 2.2 miliarda złotych). Regulator stwierdził, że przedsiębiorstwo bezprawnie transferowało dane osobowe obywateli Europejskiego Obszaru Gospodarczego (EOG) do Chin. Stwierdził on również nieprawidłowości w zakresie transparentności, w tym dotyczące spełniania obowiązków informacyjnych wobec użytkowników popularnej aplikacji.
Kontrowersje wokół TikToka
Tiktok to pochodzący z Chin serwis społecznościowy, który służy przede wszystkim publikowaniu krótkich nagrań wideo. Aplikacja cieszy się duża popularnością. Według informacji przekazanych przez administratora, TikTok może pochwalić się aż miliardem aktywnych użytkowników miesięcznie. Z aplikacji korzysta duża rzesza osób nieletnich. W 2020 roku takie osoby stanowiły 90% użytkowników, choć wydaje się, że aktualnie ilość użytkowników dorosłych może być znacznie większa, niż w 2020 r., do czego przyczynił się m.in. okres pandemii.
Wraz z rozwojem popularności TikToka pojawiały się liczne kontrowersje, w tym w szczególności w zakresie przetwarzania danych osobowych użytkowników. Warto zwrócić uwagę, że właściciel aplikacji został ukarany w USA za bezprawne gromadzenie danych dzieci. W USA były również prowadzone działania zmierzające w kierunku całkowitego zakazania użytkowania aplikacji w tym kraju, co ostatecznie nie doszło do skutku.
Kara nie tylko za bezprawny transfer
Oprócz bezprawnego transferu danych osobowych poza EOG, irlandzki regulator zarzucił administratorowi również nieprawidłowości w zakresie transparentności. DPC – jako organ wiodący dla przetwarzania danych osobowych przez chińskie przedsiębiorstwo – przeprowadził postępowanie, które wykazało, że dane osobowe części użytkowników z EOG były przetwarzane na serwerach znajdujących się na terytorium Chińskiej Republiki Ludowej. Według przedstawicieli DPC, przedsiębiorstwo nie zapewniło danym wystarczającego poziomu bezpieczeństwa. Ponadto, firma nie zaadresowała problemu dostępu chińskich władz do tych danych osobowych.
DPC zwróciła też uwagę, że chińskie prawo antyterrorystyczne czy kontrwywiadowcze zdecydowanie odbiega od standardów obowiązujących w UE. W ocenie regulatora, administrator powinien wziąć to pod uwagę planując bezpieczny transfer danych osobowych do Państwa Środka. Ostatecznie, DPC doszedł do wniosku, że operator TikToka nie dochował należytej staranności w zakresie zapewnienia, że transferowane dane są chronione na poziomie odpowiadającym standardom europejskim. Naruszenia te zostały wycenione przez organ nadzorczy na 485 milionów euro kary. Pozostałe 45 milionów euro kary zostało nałożone przez regulatora za nieprawidłowości w zakresie transparentności. Oryginalna polityka prywatności TikToka z 2021 roku nie identyfikowała bowiem państw trzecich, do których transferowane były dane osobowe. Dokument został zaktualizowany w tym zakresie dopiero po wszczęciu postępowania przez DPC.
Źródło:
