The Irish Data Protection Commission har med hjemmel i GDPR gitt TikTok-eier Bytedance en bot på svimlende 530 millioner euro, altså rundt 6,2 milliarder kroner.
Flyttet brukerdata fra Europa til Kina
«Avgjørelsen, som ble fattet av Datatilsynets kommissærer, Dr. Des Hogan og Mr. Dale Sunderland, og som nå er meddelt TikTok, fastslår at TikTok har brutt GDPR når det gjelder overføring av brukerdata fra EØS til Kina [2] og når det gjelder krav til åpenhet [3]. Vedtaket inkluderer administrative bøter på totalt 530 millioner euro, samt et pålegg om at TikTok må bringe behandlingen i samsvar med regelverket innen 6 måneder. Avgjørelsen inneholder også et pålegg om å stanse overføringene til Kina dersom TikTok ikke etterkommer kravene innen fristen.»
- Feilet i å vurdere om kinesisk lov gir et beskyttelsesnivå som er tilsvarende EUs krav
- Brukte standard kontraktsklausuler (SCCs) uten å sikre at de faktisk ga tilstrekkelig beskyttelse
- Verifiserte og garanterte ikke at data behandlet fra Kina var tilstrekkelig beskyttet
- Gjennomførte ikke nødvendige risikovurderinger knyttet til kinesiske lover som antiterror-, kontra-etterretnings- og etterretningslover
- Unnlot å oppgi Kina som mottakerland i sin personvernerklæring fra 2021
- Forklarte ikke at data kunne fjernaksesseres fra Kina, selv om dataene fysisk var lagret i USA og Singapore
- Oppga uriktig informasjon til tilsynet under granskingen – hevdet først at ingen EØS-data ble lagret i Kina, men innrømmet senere at noe data var lagret der
- Forsinket oppdatering av personvernerklæringen – ny versjon med riktigere informasjon kom først i desember 2022
TikTok har altså flyttet brukerninfo fra EØS til Kina, noe som bryter med artikkel 46 i GDPR-lovverket: «fordi selskapet ikke klarte å verifisere, garantere og demonstrere at de supplerende tiltakene og de standard kontraktsklausulene (SCCs) som ble brukt, var effektive nok til å sikre at personopplysningene til EØS-brukere, overført via fjernaksess, hadde et beskyttelsesnivå som i det vesentlige tilsvarer det som er garantert i EU.»
Dette rapporterer kommisjonen (uthevingen er vår:)
«Selv om TikTok hevder at slike overføringer via fjernaksess ikke er underlagt de aktuelle lovene og praksisene, viser TikToks egen vurdering av kinesisk lov, levert til DPC under granskningen, at deler av det kinesiske rettssystemet utelukker en konklusjon om vesentlig ekvivalens med EU-lovgivning.DPC tok hensyn til denne vurderingen og til kinesiske lover som TikTok selv identifiserte, og som skiller seg vesentlig fra EU-standarder – som antiterrorloven, kontraetterretningsloven, cybersikkerhetsloven og etterretningsloven.
Spesielt fant DPC at TikToks manglende evne til å vurdere beskyttelsesnivået som gis av kinesisk lov og praksis til personopplysninger fra EØS-brukere som behandles i Kina, ikke bare svekket selskapets mulighet til å velge passende garantier og tilleggstiltak, men også hindret TikTok i å verifisere og garantere et tilstrekkelig beskyttelsesnivå.»
