Irlandzka Komisja Ochrony Danych (DPC) ogłosiła dziś swoją ostateczną decyzję po przeprowadzeniu dochodzenia wobec TikTok Technology Limited („TikTok”). Dochodzenie to zostało wszczęte przez DPC w jej roli wiodącego organu nadzorczego TikToka, w celu zbadania zgodności z prawem transferów danych osobowych użytkowników platformy TikTok z Europejskiego Obszaru Gospodarczego (EOG) do Chińskiej Republiki Ludowej („Chiny”). Ponadto dochodzenie dotyczyło również tego, czy sposób informowania użytkowników o takich transferach spełniał wymogi przejrzystości zgodnie z RODO.
Decyzja, którą podjęli Komisarze ds. Ochrony Danych, dr Des Hogan i pan Dale Sunderland, i którą przekazano TikTokowi, stwierdza, że TikTok naruszył RODO w zakresie transferów danych użytkowników z EOG do Chin oraz obowiązków informacyjnych. Decyzja obejmuje administracyjną karę pieniężną w wysokości 530 milionów euro oraz nakaz dostosowania przetwarzania danych do przepisów w ciągu 6 miesięcy. W przypadku braku dostosowania, decyzja obejmuje także nakaz zawieszenia transferów danych do Chin.
Komentarz Zastępcy Komisarza DPC, Grahama Doyle’a:
„RODO wymaga, aby wysoki poziom ochrony danych obowiązujący w Unii Europejskiej był zachowany także w przypadku transferów danych osobowych do krajów trzecich. Transfery danych osobowych przez TikToka do Chin naruszyły RODO, ponieważ TikTok nie był w stanie zweryfikować, zagwarantować ani wykazać, że dane użytkowników z EOG, do których zdalny dostęp mają pracownicy w Chinach, były objęte poziomem ochrony równoważnym temu, który obowiązuje w UE.
Z powodu braku odpowiednich ocen, TikTok nie uwzględnił potencjalnego dostępu władz chińskich do danych osobowych z EOG zgodnie z chińskimi ustawami dotyczącymi przeciwdziałania terroryzmowi, szpiegostwu i innymi przepisami, które sam TikTok wskazał jako znacząco odbiegające od standardów UE.”. DPC przekazało projekt decyzji do mechanizmu współpracy RODO w dniu 21 lutego 2025 r., zgodnie z artykułem 60 RODO. Nie zgłoszono żadnych zastrzeżeń do projektu decyzji. DPC wyraża wdzięczność za współpracę i wsparcie ze strony organów ochrony danych UE/EOG w tej sprawie.
Błędne informacje przekazane w toku dochodzenia
W trakcie dochodzenia TikTok informował DPC, że nie przechowuje danych użytkowników z EOG na serwerach znajdujących się w Chinach. Jednak w kwietniu 2025 r. TikTok poinformował DPC o problemie odkrytym w lutym 2025 r., polegającym na tym, że ograniczone dane użytkowników z EOG były faktycznie przechowywane na serwerach w Chinach — wbrew wcześniejszym deklaracjom złożonym w toku dochodzenia. TikTok przyznał, że oznacza to przekazanie nieprawdziwych informacji DPC.
Dodatkowy komentarz Zastępcy Komisarza Doyle’a:
„DPC bardzo poważnie traktuje ostatnie ustalenia dotyczące przechowywania danych użytkowników z EOG na serwerach w Chinach. Choć TikTok poinformował, że dane zostały usunięte, rozważamy dalsze działania regulacyjne, konsultując się z innymi organami ochrony danych UE.” DPC opublikuje pełną treść decyzji i dodatkowe informacje w odpowiednim czasie.
Przepisy dotyczące transferów danych poza UE
RODO zapewnia wysoki poziom ochrony danych osobowych w EOG oraz przyznaje jednostkom prawa w zakresie ochrony danych. Gdy dane są przekazywane poza EOG, może to ograniczyć możliwość korzystania z tych praw i obniżyć poziom ochrony. Dlatego niezbędne jest, aby poziom ochrony gwarantowany przez RODO nie był obniżany w przypadku takich transferów. Transfery danych osobowych mogą odbywać się tylko pod warunkiem spełnienia wymogów Rozdziału V RODO. Zgodnie z art. 45 ust. 1 RODO transfer danych do państwa trzeciego może być dopuszczalny, jeśli Komisja Europejska uzna, że kraj ten zapewnia odpowiedni poziom ochrony („Decyzja stwierdzająca odpowiedni stopień ochrony”).
Do tej pory Komisja Europejska wydała decyzje w sprawie m.in. Andory, Argentyny, Kanady, Wysp Owczych, Guernsey, Izraela, Wyspy Man, Japonii, Jersey, Nowej Zelandii, Korei Południowej, Szwajcarii, Wielkiej Brytanii, USA i Urugwaju.
Jeśli nie ma takiej decyzji, transfery mogą się odbywać tylko przy zastosowaniu odpowiednich zabezpieczeń, jak np. standardowe klauzule umowne. Organizacja musi wówczas zweryfikować i wykazać, że prawo państwa trzeciego zapewnia równoważną ochronę.
Ustalenia DPC dot. zgodności transferów z prawem
TikTok Ireland miał obowiązek ocenić, czy prawo chińskie gwarantuje ochronę danych na poziomie równoważnym prawu UE. Decyzja stwierdza, że TikTok naruszył art. 46 ust. 1 RODO, ponieważ nie był w stanie wykazać, że zastosowane środki dodatkowe i standardowe klauzule umowne były skuteczne w zapewnieniu równoważnej ochrony. TikTok sam przyznał, że prawo chińskie odbiega w istotny sposób od standardów UE, m.in. na podstawie ustawy antyterrorystycznej, ustawy o przeciwdziałaniu szpiegostwu, ustawy o cyberbezpieczeństwie i ustawy o wywiadzie narodowym.
DPC uwzględniła również zmiany wdrażane przez TikTok w ramach „Projektu Clover”, ale mimo to uznała za zasadne nakazanie zawieszenia transferów i dostosowania operacji przetwarzania do Rozdziału V RODO w ciągu 6 miesięcy od zakończenia okresu na wniesienie odwołania.
TikTok został ukarany za naruszenia RODO w Europie co najmniej trzy razy, teraz, oraz
- We wrześniu 2023 – €345 milionów: Irlandzka Komisja Ochrony Danych (DPC) nałożyła karę za niewłaściwe przetwarzanie danych dzieci. Użytkownicy w wieku 13–17 lat mieli domyślnie ustawione konta jako publiczne, a informacje o prywatności były niejasne.
- W lipcu 2021 – €750 tysięcy: Holenderski organ ochrony danych (Autoriteit Persoonsgegevens) ukarał TikToka za brak polityki prywatności w języku niderlandzkim, co uniemożliwiało dzieciom zrozumienie, jak ich dane są przetwarzane.
Łączna suma kar nałożonych na TikToka w Europie wynosi obecnie ponad €875 milionów.