Chrońcie swoje dzieci przed TikTokiem. UE ukarała giganta za przekazywanie danych chińskim służbom

Irlandia od lat pełni kluczową rolę w egzekwowaniu unijnych przepisów dotyczących ochrony danych osobowych. Wynika to z faktu, że większość globalnych gigantów technologicznych, w tym TikTok, Meta czy Google, ma swoje europejskie siedziby właśnie na Zielonej Wyspie. To sprawia, że irlandzki Data Protection Commission (DPC) jest głównym organem nadzorującym zgodność tych firm z RODO na terenie całej Unii Europejskiej.

Śledztwo wobec TikToka rozpoczęło się kilka lat temu, kiedy pojawiły się podejrzenia, że dane użytkowników z Europejskiego Obszaru Gospodarczego (EOG) są przekazywane do Chin bez odpowiednich zabezpieczeń. DPC postanowił zbadać, czy TikTok zapewnia poziom ochrony danych równoważny temu, jaki gwarantuje prawo unijne, oraz czy użytkownicy są w pełni informowani o tym, gdzie i w jaki sposób ich dane są przetwarzane.

Czytaj też:

Rozporządzenie o ochronie danych osobowych (RODO) to jeden z najbardziej restrykcyjnych aktów prawnych na świecie w zakresie prywatności. Jego centralnym założeniem jest to, że dane osobowe obywateli UE nie mogą być przekazywane poza EOG, jeśli kraj docelowy nie zapewnia istotnie równoważnego poziomu ochrony. W praktyce oznacza to konieczność stosowania tzw. standardowych klauzul umownych (SCCs) oraz wdrażania dodatkowych środków technicznych i organizacyjnych, które uniemożliwią nieautoryzowany dostęp do danych, zwłaszcza przez władze państw trzecich.

W przypadku Chin europejscy regulatorzy od lat podkreślają, że tamtejsze prawo, w tym ustawy antyterrorystyczne, o cyberbezpieczeństwie czy wywiadzie narodowym, znacząco odbiegają od standardów unijnych. Otwierają one bowiem szerokie możliwości dostępu władz do danych przechowywanych przez firmy technologiczne, co budzi poważne obawy o prywatność obywateli UE.

To nie pierwsza tak poważna sprawa dotycząca TikToka w Europie. W 2023 r. irlandzki DPC nałożył na platformę karę w wysokości 345 mln euro za naruszenia związane z przetwarzaniem danych dzieci, w tym domyślne ustawienia prywatności oraz niewystarczającą transparentność wobec młodych użytkowników. Tamta decyzja była sygnałem ostrzegawczym dla całej branży, pokazującym, że europejscy regulatorzy nie zawahają się przed użyciem pełni swoich uprawnień wobec nawet największych graczy.

Irlandzki regulator w swoim postępowaniu wykazał, że TikTok nie był w stanie zweryfikować, zagwarantować ani udowodnić, że dane użytkowników z EOG, do których dostęp mają pracownicy w Chinach, są chronione na poziomie istotnie równoważnym do tego, jaki gwarantuje prawo unijne. DPC podkreślił, że TikTok nie przeprowadził odpowiednich ocen ryzyka ani nie wdrożył skutecznych środków zabezpieczających, które uniemożliwiłyby dostęp chińskich władz do tych danych na mocy lokalnych przepisów.

W szczególności wskazano, że TikTok sam w swoich analizach przyznał, iż chińskie prawo, takie jak ustawa antyterrorystyczna, o cyberbezpieczeństwie czy wywiadzie narodowym, znacząco odbiega od standardów unijnych i nie pozwala na uznanie, że ochrona danych jest tam równoważna. Regulator uznał również, że TikTok nie był wystarczająco transparentny wobec użytkowników - polityka prywatności nie precyzowała, do jakich krajów trafiają dane ani że dostęp do nich mają pracownicy w Chinach.

Jednym z najbardziej kontrowersyjnych momentów śledztwa było ujawnienie przez TikToka w kwietniu, że w lutym wykryto przypadek, w którym ograniczona ilość danych użytkowników z EOG, została przechowywana na serwerach w Chinach - wbrew wcześniejszym zapewnieniom firmy, że tak się nie dzieje. TikTok poinformował, że dane te zostały już usunięte, jednak fakt ten poważnie podważył wiarygodność wcześniejszych oświadczeń składanych regulatorowi.

W efekcie śledztwa DPC uznał, że TikTok naruszył artykuł 46(1) RODO nie zapewniając równoważnej ochrony danych oraz nie spełniając wymogów transparentności wobec użytkowników. Nałożono administracyjną karę w wysokości 530 mln euro oraz nakazano TikTokowi dostosowanie praktyk przetwarzania danych do wymogów RODO w ciągu sześciu miesięcy. Jeśli firma nie spełni tych warunków, regulator zapowiedział całkowite wstrzymanie transferów danych do Chin.

TikTok natychmiast zapowiedział odwołanie od decyzji irlandzkiego regulatora, podkreślając, że kara dotyczy okresu sprzed maja 2023 r., kiedy to firma rozpoczęła wdrażanie programu Project Clover - szeroko zakrojonej inicjatywy mającej na celu zwiększenie bezpieczeństwa danych europejskich użytkowników poprzez budowę trzech centrów danych w Europie i wprowadzenie niezależnego nadzoru. Przedstawiciele TikToka argumentują, że obecnie wdrażane środki bezpieczeństwa należą do najbardziej zaawansowanych w branży i zapewniają bezprecedensowy poziom ochrony, a decyzja DPC nie uwzględnia tych zmian.

Firma podkreśla także, że nigdy nie otrzymała żadnego żądania od chińskich władz o udostępnienie danych europejskich użytkowników i nigdy takich danych nie przekazała. TikTok zwraca uwagę, że wyrok może ustanowić niebezpieczny precedens dla innych firm działających globalnie, które również korzystają z rozproszonych zespołów i infrastruktury poza Europą.

Warto zauważyć, że decyzja irlandzkiego regulatora wpisuje się w szerszy kontekst globalnych napięć wokół TikToka i chińskich firm technologicznych. W Stanach Zjednoczonych Kongres przyjął ustawę nakazującą ByteDance’owi sprzedaż amerykańskiej części TikToka lub grożącą zakazem działalności aplikacji w tym kraju. Podobne działania podejmują także inne kraje, obawiając się wykorzystywania danych obywateli do celów wywiadowczych czy propagandowych przez chińskie władze.

Chińskie regulacje, takie jak ustawa o cyberbezpieczeństwie, ustawa antyterrorystyczna czy ustawa o wywiadzie narodowym, nakładają na firmy technologiczne obowiązek udostępniania danych na żądanie władz, często bez konieczności informowania użytkowników czy zagranicznych regulatorów. To fundamentalnie różni się od podejścia unijnego, gdzie dostęp do danych jest ściśle ograniczony i podlega kontroli sądowej.

W praktyce oznacza to, że każda firma przekazująca dane do Chin musi liczyć się z ryzykiem, że nie będzie w stanie zagwarantować użytkownikom z UE takiego poziomu ochrony, jaki wymaga RODO. To właśnie ten aspekt był kluczowy w decyzji DPC wobec TikToka i prawdopodobnie będzie miał wpływ na przyszłe sprawy dotyczące innych platform.

*Zdjęcie otwierające: Boumen Japet / Shutterstock.com