Η εταιρεία δεν έλαβε υπόψιν της πως η απομακρυσμένη πρόσβαση από προσωπικό στην Κίνα σε δεδομένα που αποθηκεύονται σε άλλες χώρες συνιστά διαβίβαση δεδομένων στην Κίνα
Την επιβολή προστίμου ύψους 530 εκατομμυρίων ευρώ στο TikTok ανακοίνωσε η ιρλανδική αρχή προστασίας δεδομένων DPC. H DPC, ενεργώντας ως επικεφαλής εποπτική αρχή για μια εταιρεία που διατηρεί την ευρωπαϊκή της έδρα στην Ιρλανδία, πραγματοποίησε έλεγχο ως προς το κατά πόσον τα προσωπικά δεδομένα των χρηστών της δημοφιλούς πλατφόρμας κοινωνικής δικτύωσης διαβιβάζονται στην Κίνα.
Από τον έλεγχο που πραγματοποιήθηκε και τις εξηγήσεις που δόθηκαν από την εταιρεία προέκυψαν δύο παραβάσεις των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων: η διαβίβαση δεδομένων σε τρίτη χώρα χωρίς τις απαιτήσεις ασφάλειας του άρθρου 46 ΓΚΠΔ και η μη ενημέρωση των υποκειμένων με βάση τις προβλέψεις του άρθρου 13 παρ.1στ’ ΓΚΠΔ. Για την πρώτη παράβαση επιβλήθηκε πρόστιμο ύψους 485 εκατομμυρίων ευρώ, ενώ για τη δεύτερη το πρόστιμο ανήλθε σε 45 εκατομμύρια ευρώ, με τη DPC να επιβάλλει και πρόσθετα διορθωτικά μέτρα για την αποκατάσταση της νομιμότητας.
Παράλληλα, όπως ανακοινώθηκε, μετά το πέρας της έρευνας και την έγκριση του σχεδίου απόφασης από τις ενδιαφερόμενες εποπτικές αρχές του ΓΚΠΔ, η TikTok ενημέρωσε την ιρλανδική αρχή πως, σε αντίθεση με τον αρχικό ισχυρισμό της πως δεν αποθηκεύει τα δεδομένων ευρωπαίων χρηστών σε servers στην Κίνα, διαπίστωσε πως κάτι τέτοιο συνέβαινε, αν και σε περιορισμένη κλίμακα. Η DPC επιφυλάχθηκε να εξετάσει το ζήτημα περαιτέρω.
Ως προς τις διαβιβάσεις δεδομένων
Η TikTok Ireland όφειλε να αξιολογήσει κατά πόσον η κινεζική νομοθεσία εγγυάται επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό της νομοθεσίας της ΕΕ. Με την απόφαση της ιρλανδικής αρχής κρίθηκε πως οι διαβιβάσεις δεδομένων της TikTok προς την Κίνα παραβίασαν το Άρθρο 46 παρ.1 του Γενικού Κανονισμού, αφού η εταιρεία απέτυχε να επαληθεύσει, να εγγυηθεί και να αποδείξει ότι τα συμπληρωματικά μέτρα και οι Τυποποιημένες Συμβατικές Ρήτρες ήταν αποτελεσματικά για να εξασφαλίσουν ότι τα προσωπικά δεδομένα των ευρωπαίων χρηστών, τα οποία διαβιβάζονταν μέσω απομακρυσμένης πρόσβασης, διέθεταν επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που εγγυάται η ΕΕ.
Η TikTok υποστήριξε πως οι διαβιβάσεις δεδομένων μέσω απομακρυσμένης πρόσβασης δεν υπόκεινται στις ως άνω προϋποθέσεις, ωστόσο η εκτίμηση που η ίδια παρείχε στην ιρλανδική αρχή σχετικά με το κινεζικό νομικό πλαίσιο έδειξε ότι ορισμένες πτυχές του αποκλείουν τη δυνατότητα διαπίστωσης ουσιαστικής ισοδυναμίας με το δίκαιο της ΕΕ. Η DPC έλαβε υπόψη αυτή την εκτίμηση, καθώς και τους κινεζικούς νόμους που η ίδια η TikTok εντόπισε ως ουσιωδώς αποκλίνοντες από τα ευρωπαϊκά πρότυπα, όπως ο Νόμος κατά της Τρομοκρατίας, ο Νόμος κατά της Κατασκοπείας, ο Νόμος για την Κυβερνοασφάλεια και ο Νόμος περί Εθνικών Πληροφοριών.
Κατά την άσκηση των διορθωτικών της αρμοδιοτήτων, η DPC έλαβε επίσης υπόψη τις συνεχιζόμενες αλλαγές που έχει εισάγει η TikTok στο πλαίσιο του «Project Clover». Παρά τις αλλαγές αυτές, η DPC έκρινε ότι είναι ενδεδειγμένο, αναγκαίο και αναλογικό να διαταχθεί η αναστολή των διαβιβάσεων δεδομένων και να υποχρεωθεί η TikTok να καταστήσει τις πρακτικές επεξεργασίας της σύμφωνες με το Κεφάλαιο V του ΓΚΠΔ, εντός χρονικού διαστήματος έξι (6) μηνών.
Ως προς την ενημέρωση των υποκειμένων των δεδομένων
Το Άρθρο 13 παρ.1στ’ ΓΚΠΔ απαιτεί από τους υπευθύνους επεξεργασίας να παρέχουν στα υποκείμενα των δεδομένων πληροφορίες σχετικά με τις διαβιβάσεις προσωπικών δεδομένων προς τρίτες χώρες. Η ιρλανδική αρχή εξέτασε την Πολιτική Απορρήτου της TikTok του Οκτωβρίου 2021 και διαπίστωσε ότι η πολιτική αυτή ήταν ανεπαρκής σε δύο βασικά σημεία, σε σχέση με τις απαιτήσεις αυτές.
Κατά πρώτον, η Πολιτική Απορρήτου του 2021 δεν κατονόμαζε τις τρίτες χώρες, συμπεριλαμβανομένης της Κίνας, στις οποίες διαβιβάζονται προσωπικά δεδομένα. Κατά δεύτερον, δεν εξηγούσε τη φύση των πράξεων επεξεργασίας που αποτελούσαν διαβίβαση. Ειδικότερα, η Πολιτική Απορρήτου αυτή δεν διευκρίνιζε ότι η επεξεργασία περιελάμβανε απομακρυσμένη πρόσβαση σε προσωπικά δεδομένα που ήταν αποθηκευμένα στη Σιγκαπούρη και τις Ηνωμένες Πολιτείες από προσωπικό που εδρεύει στην Κίνα.
Η TikTok τροποποίησε την Πολιτική Απορρήτου της κατά τη διάρκεια της Έρευνας και υπέβαλε στην DPC την Πολιτική Απορρήτου του Δεκεμβρίου 2022 για τον ΕΟΧ. Στην ενημερωμένη πολιτική, κατονομάζονται πλέον οι τρίτες χώρες προς τις οποίες διαβιβάζονται δεδομένα ευρωπαίων χρηστών, οι οποίοι και ενημερώνονται ότι τα προσωπικά τους δεδομένα αποθηκεύονται σε servers στις Ηνωμένες Πολιτείες και στη Σιγκαπούρη και αποτελούν αντικείμενο απομακρυσμένης πρόσβασης από οντότητες του εταιρικού ομίλου της TikTok που εδρεύουν στη Βραζιλία, την Κίνα, τη Μαλαισία, τις Φιλιππίνες, τη Σιγκαπούρη και τις Ηνωμένες Πολιτείες.
Η τροποποιηθείσα Πολιτική Απορρήτου της εταιρείας κρίθηκε σύμφωνη με τις απαιτήσεις του ΓΚΠΔ, για τον λόγο αυτό η παράβαση που διαπιστώθηκε καλύπτει το χρονικό διάστημα από τις 29 Ιουλίου 2020 έως την 1η Δεκεμβρίου 2022.
