Pozrite si
Írska komisia pre ochranu údajov (DPC) udelila čínskej platforme pokutu vo výške 530 miliónov eur za vážne porušenia nariadenia GDPR, týkajúce sa prenosu osobných údajov európskych používateľov do Číny.
Ide o tretiu najväčšiu pokusu udelenú v histórii GDPR a významný precedens v oblasti cezhraničnej ochrany údajov.
Vyšetrovanie DPC sa zameriavalo na zákonnosť prenosov údajov používateľov z Európskeho hospodárskeho priestoru (EHP) do Čínskej ľudovej republiky, ako aj na mieru transparentnosti, s akou TikTok o týchto praktikách informoval svojich používateľov. Komisia zistila, že TikTok porušil dva články GDPR, keď nedokázal zabezpečiť, že osobné údaje prenášané mimo EÚ budú chránené na rovnakej úrovni ako v rámci EÚ.
Obsah pokračuje pod reklamou
TikTok konkrétne nedokázal preukázať, že právne rámce a praktiky v Číne, vrátane zákonov o boji proti terorizmu, kybernetickej bezpečnosti a protiteroristických opatreniach, poskytujú dostatočné záruky európskym používateľom v súlade s európskymi štandardmi ochrany údajov.
Počas štvorročného vyšetrovania TikTok írskeho regulátora uisťoval, že údaje európskych používateľov nie sú uchovávané na serveroch v Číne. V apríli 2025 však spoločnosť priznala, že „obmedzené údaje používateľov z EHP“ predsa len boli dočasne uložené v Číne, čo bolo v rozpore s predchádzajúcimi vyjadreniami. TikTok uviedol, že tieto údaje boli medzitým odstránené, no DPC tento vývoj označila za „veľmi závažný“ a zvažuje ďalšie regulačné opatrenia.
Na základe týchto zistení DPC udelila spoločnosti ByteDance, prevádzkovateľovi platformy TikTok, dve samostatné pokuty. Prvá menšia pokuta vo výške 45 miliónov eur sa týka porušenia pravidiel transparentnosti, teda neschopnosti jasne informovať používateľov o presunoch údajov. Druhá pokuta vo výške 485 miliónov eur bola udelená už za samotné nezákonné cezhraničné prenosy údajov bez primeranej ochrany. Okrem pokuty dostala spoločnosť aj príkaz na uvedenie spracovania údajov do súladu s GDPR do šiestich mesiacov, a ak sa tak nestane, hrozí úplné pozastavenie prenosov dát do Číny.
TikTok samozrejme s rozhodnutím DPC nesúhlasí a plánuje sa voči nemu plne odvolať. Spoločnosť tvrdí, že žiadna čínska štátna inštitúcia nikdy nepožiadala o prístup k údajom európskych používateľov, a tieto údaje nikdy neposkytla. Zástupcovia TikToku zároveň vyjadrili poľutovanie, že DPC pri rozhodovaní nezohľadnila dostatočne iniciatívu Project Clover, teda súbor opatrení, vrátane výstavby dátových centier v Európe, ktorý má posilniť ochranu súkromia používateľov. V nadväznosti na to DPC uviedla, že aktuálne zmeny boli pri rozhodovaní zohľadnené, no pokuta sa týka konkrétneho obdobia medzi 29. júlom 2020 a 1. decembrom 2022, pred zavedením projektu Clover.
Toto nie je prvý raz, čo TikTok čelí sankciám zo strany európskych regulačných orgánov. V roku 2023 dostala spoločnosť pokutu 368 miliónov dolárov za nedostatočnú ochranu údajov maloletých používateľov vo veku 13 až 17 rokov. Okrem toho prebiehajú ďalšie vyšetrovania týkajúce sa podozrení z nezabránenia zahraničnému zasahovaniu do volieb, nedostatočného overovania veku používateľov a obáv z návykového algoritmu.
Kauza opätovne otvára širšiu diskusiu o tom, do akej miery sú platformy ako TikTok schopné (a ochotné) rešpektovať demokratické princípy ochrany súkromia, ak zároveň pôsobia v prostredí s odlišnými právnymi a politickými normami. Hoci sa pozornosť verejnosti často sústreďuje na vplyv TikToku na psychické zdravie mládeže a algoritmickú závislosť, tento prípad ukazuje, že rovnako závažné sú aj riziká spojené s únikom a spracovaním osobných údajov mimo kontrolovaného právneho rámca EÚ.
Zdroj