TikTok ilagt bot for overføring av europeiske personopplysninger i Kina
Boten på 530 millioner euro er en av de største som er ilagt under GDPR, og har skapt betydelig oppmerksomhet både i og utenfor EU.
Overføring av personopplysninger utenfor EU/EØS
GDPR stiller strenge krav til overføring av personopplysninger til land utenfor EU/EØS. Et av vilkårene for overføring er at beskyttelsesnivået for de personopplysningene som overføres skal være minst like høyt som beskyttelsesnivået i EU/EØS.
I denne saken konkluderte det irske datatilsynet med at TikTok ikke hadde foretatt tilstrekkelige vurderinger av dataoverføringen til Kina. Dermed kunne ikke TikTok innestå for at persondataen til TikTok-brukere i EU/EØS hadde et høyt nok beskyttelsesnivå. Kinesiske myndigheter har, gjennom nasjonal lovgiving knyttet til nasjonal sikkerhet, en bred anledning til å kreve utlevert personopplysninger fra privatpersoner og selskaper. Det irske datatilsynet påpeker at TikTok heller ikke hadde adressert risikoen for slike krav om utlevering av europeiske brukeres personopplysninger.
Videre fikk TikTok refs for manglende informasjon i sin personvernerklæring. De hadde ikke informert om at det kunne skje en overføring av personopplysninger til Kina, og de hadde heller ikke god nok informasjon om den aktuelle overføringsmetoden (fjerntilgang).
Økende skepsis mot TikTok i EU
Dette er ikke første gang TikTok havner i søkelyset for sin håndtering av personopplysninger. Flere land, inkludert USA og Storbritannia, har tidligere uttrykt bekymring for at data fra TikTok kan bli delt med kinesiske myndigheter. I 2023 vedtok EU-kommisjonen en bot for brudd på GDPR i forbindelse med lagring av barns brukerdata på appen.
I Norge har Nasjonal kommunikasjonsmyndighet (Nkom) anbefalt at TikTok ikke bør installeres på offentlige tjenesteenheter. Som følge av dette frarådet Justis- og beredskapsdepartementet i 2023 bruk av appen i departementene.
Etter den siste boten innkalte den norske regjeringen TikTok til et møte for å få klarhet i hvordan selskapet håndterer norske brukeres data. Bekymringen er særlig stor fordi appen er svært populær blant barn og unge.
TikTok anker
TikTok har på sin side ikke bestridt «begrenset» lagring av persondata i Kina, men selskapet hevder at de har iverksatt strenge datasikkerhetstiltak siden perioden boten gjelder for. TikTok har også uttalt at de er uenige i boten og planlegger å anke avgjørelsen. Selskapet har fått en frist på seks måneder siden avgjørelsen ble fattet til å sikre at de nå overholder GDPR.
Relaterte artikler
EU Data Act: Industridata blir nå tilgjengelige på nye vilkår, og digital uavhengighet forenkles
Fra 12. september 2025 gjør EU Data Act industridata tilgjengelige på nye vilkår, med mål om å styrke dataøkonomien og fremme et rettferdig datamarked.
Les mer
CER-direktivet: Nye fysiske sikkerhetskrav for kritiske virksomheter
EU innfører nå CER-direktivet, som stiller omfattende krav til fysisk sikkerhet og operasjonell motstandsdyktighet i ...
Les mer
Cyber Resilience Act: Nye sikkerhetskrav i endelig versjon av forordningen
EUs Cyber Resilience Act (CRA) er nå endelig vedtatt, og trådde i kraft 10. desember 2024. Forordningen vil påvirke s...
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.
Kompetanse
- Anskaffelser
- Arbeidsliv
- Arv, dødsbo og generasjonsskifte
- Energi
- Entreprise
- Familierett, vergemål og samlivsbrudd
- Fast eiendom
- Foreldretvister og barnefordeling
- Forsikring og ansvar
- Granskning og compliance
- Immaterialrett og markedsføringsrett
- Industri, handel og service
- Klima, miljø, avfall og bærekraft
- Konkurranserett, statsstøtte og EU/EØS
- Life science og helseteknologi
- Logistikk og transportrett
- Media, underholdning og kultur
- Personvern
- Restrukturering, insolvens og konkurs
- Rettssaker og tvisteløsning
- Revisjon og regnskap
- Selskapsrett og transaksjoner
- Skatt og avgift
- Space
- Teknologi, IT og AI