Chińska platforma społecznościowa TikTok umożliwiająca tworzenie, udostępnianie i oglądanie krótkich filmików otrzymała karę w wysokości 530 mln euro za naruszenie przepisów RODO, co w przeliczeniu stanowi 2,3 miliarda złotych za nieuwzględnienie prywatności swoich użytkowników poprzez nieuprawniony transfer danych osobowych do Chin.
Karę nałożyła Irlandzka Komisja Ochrony Danych Osobowych (Data Protection Commission, DPC), która stanowi odpowiednik polskiego organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych. Organ ten zajmował się sprawą TikToka z uwagi na lokalizację europejskiej siedziby TikToka.
Zakres zastosowania RODO i odpowiedzialność TikToka
O co właściwie chodziło? RODO, zgodnie z art. 3 ust. 1 znajduje zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.
Plany budowy centrów danych nie wystarczyły
Niezależnie od faktu umieszczenia przez firmy ByteDance, będącej właścicielem TikToka pierwszego z centów danych w Norwegii oraz niedawnego ogłoszenia zamiarów w zakresie stworzenia kolejnego w Finlandii, kara została nałożona za dotychczasowe niezgodne z prawem przetwarzanie danych, brak transparentności i niezapewnienie adekwatnego poziomu zabezpieczenia przetwarzanych danych osobowych.
Źródło: Shuttrestock
Projekt Clover – spóźniona reakcja na wymagania RODO
W 2023 r. TikTok rozpoczął projekt Clover, który miał na celu zapewnienie wzrostu bezpieczeństwa danych osobowych użytkownikom z terenu Unii Europejskiej, który zapewnia rygorystyczny model podejścia do ochrony danych osobowych. Sam projekt kosztował 12 miliardów euro. Decyzja organu nadzorczego obejmuje przede wszystkim okres sprzed wdrożenia Clover.
Dane w Chinach mimo zapewnień TikToka
TikTok utrzymywał, że nigdy nie udostępniał danych osobowych władzom chińskim i również nigdy nie otrzymał próśb od władz w tym zakresie. Co więcej, w 2025 r. sama firma ByteDance poinformowała o rzekomych „śladowych” ilościach danych osobowych użytkowników UE zamieszczonych na serwerach chińskich, co stało w sprzeczności z dotychczasowymi twierdzeniami. Należy w tym miejscu zaznaczyć, że TikTok posiada 175 milionów użytkowników w Europie. Dane na serwerach chińskich miały być przetwarzane w związku ze zdalnym dostępem pracowników z terenów Chin. Zgodnie jednak z art. 46 RODO w razie braku decyzji stwierdzającej odpowiedni stopień bezpieczeństwa gwarantowany przez państwo, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego, lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. W powyższym przypadku nie stwierdzono adekwatnych środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych osobowych.
Odwołanie TikToka i kontrowersje wokół decyzji DPC
TiKTok odniósł się już do nałożonej kary wskazując, że organ nadzorczy nie wziął pod uwagę wdrożonego projektu Clover i przyjętych standardów bezpieczeństwa i planuje się od niej odwołać.
Autor: Olimpia Florek, kancelaria Graś i Wspólnicy