TikTok ilagt bot for overføring av europeiske personopplysninger i Kina

Boten på 530 millioner euro er en av de største som er ilagt under GDPR, og har skapt betydelig oppmerksomhet både i og utenfor EU.

Overføring av personopplysninger utenfor EU/EØS

GDPR stiller strenge krav til overføring av personopplysninger til land utenfor EU/EØS. Et av vilkårene for overføring er at beskyttelsesnivået for de personopplysningene som overføres skal være minst like høyt som beskyttelsesnivået i EU/EØS.

I denne saken konkluderte det irske datatilsynet med at TikTok ikke hadde foretatt tilstrekkelige vurderinger av dataoverføringen til Kina. Dermed kunne ikke TikTok innestå for at persondataen til TikTok-brukere i EU/EØS hadde et høyt nok beskyttelsesnivå. Kinesiske myndigheter har, gjennom nasjonal lovgiving knyttet til nasjonal sikkerhet, en bred anledning til å kreve utlevert personopplysninger fra privatpersoner og selskaper. Det irske datatilsynet påpeker at TikTok heller ikke hadde adressert risikoen for slike krav om utlevering av europeiske brukeres personopplysninger.

Videre fikk TikTok refs for manglende informasjon i sin personvernerklæring. De hadde ikke informert om at det kunne skje en overføring av personopplysninger til Kina, og de hadde heller ikke god nok informasjon om den aktuelle overføringsmetoden (fjerntilgang).

Økende skepsis mot TikTok i EU

Dette er ikke første gang TikTok havner i søkelyset for sin håndtering av personopplysninger. Flere land, inkludert USA og Storbritannia, har tidligere uttrykt bekymring for at data fra TikTok kan bli delt med kinesiske myndigheter. I 2023 vedtok EU-kommisjonen en bot for brudd på GDPR i forbindelse med lagring av barns brukerdata på appen.

I Norge har Nasjonal kommunikasjonsmyndighet (Nkom) anbefalt at TikTok ikke bør installeres på offentlige tjenesteenheter. Som følge av dette frarådet Justis- og beredskapsdepartementet i 2023 bruk av appen i departementene.

Etter den siste boten innkalte den norske regjeringen TikTok til et møte for å få klarhet i hvordan selskapet håndterer norske brukeres data. Bekymringen er særlig stor fordi appen er svært populær blant barn og unge.

TikTok anker

TikTok har på sin side ikke bestridt «begrenset» lagring av persondata i Kina, men selskapet hevder at de har iverksatt strenge datasikkerhetstiltak siden perioden boten gjelder for. TikTok har også uttalt at de er uenige i boten og planlegger å anke avgjørelsen. Selskapet har fått en frist på seks måneder siden avgjørelsen ble fattet til å sikre at de nå overholder GDPR.