Οι εποπτικές αρχές απορρήτου της Ευρωπαϊκής Ένωσης επέβαλαν πρόστιμο 530 εκατομμυρίων ευρώ στην πλατφόρμα κοινωνικής δικτύωσης TikTok την Παρασκευή, μετά από τετραετή έρευνα που διαπίστωσε ότι οι μεταφορές δεδομένων της εφαρμογής κοινής χρήσης βίντεο στην Κίνα παραβίαζαν αυστηρούς κανόνες απορρήτου δεδομένων στην ΕΕ.
Η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας επέβαλε επίσης κυρώσεις στην TikTok επειδή δεν ήταν διαφανής με τους χρήστες σχετικά με το πού αποστέλλονταν τα προσωπικά τους δεδομένα και διέταξε την εταιρεία να συμμορφωθεί με τους κανόνες εντός έξι μηνών.
Η ιρλανδική εθνική εποπτική αρχή λειτουργεί ως η κορυφαία ρυθμιστική αρχή απορρήτου δεδομένων της TikTok στην ΕΕ των 27 κρατών μελών, επειδή η ευρωπαϊκή έδρα της εταιρείας βρίσκεται στο Δουβλίνο.
«Η TikTok δεν κατάφερε να επαληθεύσει, να εγγυηθεί και να αποδείξει ότι τα προσωπικά δεδομένα των (Ευρωπαίων) χρηστών, στα οποία είχε πρόσβαση εξ αποστάσεως το προσωπικό στην Κίνα, είχαν επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εγγυάται εντός της ΕΕ», δήλωσε ο Αναπληρωτής Επίτροπος Γκράχαμ Ντόιλ σε ανακοίνωσή του.
Η TikTok δήλωσε ότι διαφωνεί με την απόφαση και σχεδιάζει να ασκήσει έφεση.
Η εταιρεία ανέφερε σε μια ανάρτηση ιστολογίου ότι η απόφαση επικεντρώνεται σε μια «επιλεγμένη περίοδο» που λήγει τον Μάιο του 2023, πριν ξεκινήσει ένα έργο εντοπισμού δεδομένων που ονομάζεται Project Clover, το οποίο περιελάμβανε την κατασκευή τριών κέντρων δεδομένων στην Ευρώπη.
«Η TikTok δεν κατάφερε να επαληθεύσει, να εγγυηθεί και να αποδείξει ότι τα προσωπικά δεδομένα των (Ευρωπαίων) χρηστών, στα οποία είχε πρόσβαση εξ αποστάσεως το προσωπικό στην Κίνα, είχαν επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εγγυάται εντός της ΕΕ»
«Τα γεγονότα είναι ότι το Project Clover διαθέτει μερικές από τις πιο αυστηρές προστασίες δεδομένων οπουδήποτε στον κλάδο, συμπεριλαμβανομένης μιας άνευ προηγουμένου ανεξάρτητης εποπτείας από την NCC Group, μια κορυφαία ευρωπαϊκή εταιρεία κυβερνοασφάλειας», δήλωσε η Κριστίν Γκραν, επικεφαλής δημόσιας πολιτικής και κυβερνητικών σχέσεων της TikTok για την Ευρώπη. «Η απόφαση δεν λαμβάνει πλήρως υπόψη αυτά τα σημαντικά μέτρα ασφάλειας δεδομένων».
Στο στόχαστρο της Ευρώπης το TikTok
Η TikTok, της οποίας η μητρική εταιρεία ByteDance εδρεύει στην Κίνα, βρίσκεται υπό έλεγχο στην Ευρώπη για τον τρόπο με τον οποίο χειρίζεται τα προσωπικά στοιχεία των χρηστών της εν μέσω ανησυχιών από Δυτικούς αξιωματούχους ότι αποτελεί κίνδυνο ασφαλείας για τα δεδομένα χρηστών που αποστέλλονται στην Κίνα. Το 2023, η ιρλανδική εποπτική αρχή επέβαλε επίσης πρόστιμο στην εταιρεία εκατοντάδων εκατομμυρίων ευρώ σε ξεχωριστή έρευνα για την προστασία της ιδιωτικής ζωής των παιδιών.
Η ιρλανδική εποπτική αρχή δήλωσε ότι η έρευνά της διαπίστωσε πως το TikTok δεν αντιμετώπισε την «πιθανή πρόσβαση των κινεζικών αρχών» στα προσωπικά δεδομένα των Ευρωπαίων χρηστών βάσει των κινεζικών νόμων για την καταπολέμηση της τρομοκρατίας, την κατασκοπεία, την κυβερνοασφάλεια και τις εθνικές πληροφορίες, οι οποίοι χαρακτηρίστηκαν ως «ουσιαστικά αποκλίνοντες» από τα πρότυπα της ΕΕ.
Η Γκραν δήλωσε ότι η TikTok «δεν έχει λάβει ποτέ αίτημα για δεδομένα Ευρωπαίων χρηστών από τις κινεζικές αρχές και δεν τους έχει παράσχει ποτέ δεδομένα Ευρωπαίων χρηστών».
Σύμφωνα με τους κανόνες της ΕΕ, γνωστούς ως Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), τα δεδομένα Ευρωπαίων χρηστών μπορούν να μεταφερθούν εκτός του μπλοκ μόνο εάν υπάρχουν διασφαλίσεις που διασφαλίζουν το ίδιο επίπεδο προστασίας.
Η Γκραν δήλωσε ότι το TikTok διαφωνεί έντονα με το επιχείρημα της ιρλανδικής ρυθμιστικής αρχής ότι δεν διεξήγαγε «απαραίτητες αξιολογήσεις» για τις μεταφορές δεδομένων, λέγοντας ότι ζήτησε συμβουλές από δικηγορικά γραφεία και ειδικούς. Είπε ότι το TikTok «απομονώθηκε» παρόλο που χρησιμοποιεί τους «ίδιους νομικούς μηχανισμούς» που χρησιμοποιούν χιλιάδες άλλες εταιρείες στην Ευρώπη και η προσέγγισή του είναι «σύμφωνη» με τους κανόνες της ΕΕ.
Η έρευνα, η οποία ξεκίνησε τον Σεπτέμβριο του 2021, διαπίστωσε επίσης ότι η πολιτική απορρήτου του TikTok εκείνη την εποχή δεν κατονόμαζε τρίτες χώρες, συμπεριλαμβανομένης της Κίνας, όπου μεταφέρονταν δεδομένα χρηστών. Η εποπτική αρχή δήλωσε ότι η πολιτική, η οποία έχει έκτοτε ενημερωθεί, δεν εξηγούσε ότι η επεξεργασία δεδομένων περιελάμβανε «απομακρυσμένη πρόσβαση σε προσωπικά δεδομένα που αποθηκεύονταν στη Σιγκαπούρη και τις Ηνωμένες Πολιτείες από προσωπικό με έδρα την Κίνα».
Η TikTok αντιμετωπίζει περαιτέρω έλεγχο από την ιρλανδική ρυθμιστική αρχή, η οποία δήλωσε ότι η εταιρεία είχε παράσχει ανακριβείς πληροφορίες καθ’ όλη τη διάρκεια της έρευνας, λέγοντας ότι δεν αποθήκευε δεδομένα Ευρωπαίων χρηστών σε κινεζικούς διακομιστές. Μόλις τον Απρίλιο ενημέρωσε τη ρυθμιστική αρχή ότι ανακάλυψε τον Φεβρουάριο ότι ορισμένα δεδομένα είχαν πράγματι αποθηκευτεί σε κινεζικούς διακομιστές.
Ο Ντόιλ δήλωσε ότι η εποπτική αρχή λαμβάνει τις πρόσφατες εξελίξεις «πολύ σοβαρά» και «εξετάζει ποια περαιτέρω ρυθμιστικά μέτρα μπορεί να απαιτηθούν».
