530 mln euro kary dla TikToka za transfer danych osobowych użytkowników do Chin

07.05.2025 | Compliance

Chińska platforma społecznościowa TikTok, umożliwiająca tworzenie, udostępnianie i oglądanie krótkich filmików otrzymała karę w wysokości 530 mln euro za naruszenie przepisów RODO, co w przeliczeniu stanowi 2,3 miliarda złotych za nieuwzględnienie prywatności swoich użytkowników poprzez nieuprawniony transfer danych osobowych do Chin. Karę nałożyła Irlandzka Komisja Ochrony Danych Osobowych (Data Protection Commission, DPC), która stanowi odpowiednik polskiego organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych. Organ ten zajmował się sprawą TikToka z uwagi na lokalizację europejskiej siedziby TikToka.

O co właściwie chodziło? RODO, zgodnie z art. 3 ust. 1 znajduje zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Niezależnie od faktu umieszczenia przez firmy ByteDance, będącej właścicielem Tiktoka pierwszego z centów danych w Norwegii oraz niedawnego ogłoszenia zamiarów w zakresie stworzenia kolejnego w Finlandii, kara została nałożona za dotychczasowe niezgodne z prawem przetwarzanie danych, brak transparentności i niezapewnienie adekwatnego poziomu zabezpieczenia przetwarzanych danych osobowych.

W 2023 r. TikTok rozpoczął projekt Clover, który miał na celu zapewnienie wzrostu bezpieczeństwa danych osobowych użytkownikom z terenu Unii Europejskiej, który zapewnia rygorystyczny model podejścia do ochrony danych osobowych. Sam projekt kosztował 12 miliardów euro. Decyzja organu nadzorczego obejmuje przede wszystkim okres sprzed wdrożenia Clover.

TikTok utrzymywał, że nigdy nie udostępniał danych osobowych władzom chińskim i również nigdy nie otrzymał próśb od władz w tym zakresie. Co więcej, w 2025 r. sama firma ByteDance poinformowała o rzekomych „śladowych” ilościach danych osobowych użytkowników UE zamieszczonych na serwerach chińskich, co stało w sprzeczności z dotychczasowymi twierdzeniami. Należy w tym miejscu zaznaczyć, że TikTok posiada 175 milionów użytkowników w Europie. Dane na serwerach chińskich miały być przetwarzane w związku ze zdalnym dostępem pracowników z terenów Chin. Zgodnie jednak z art. 46 RODO w razie braku decyzji stwierdzającej odpowiedni stopień bezpieczeństwa gwarantowany przez państwo, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. W powyższym przypadku nie stwierdzono adekwatnych środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzanych danych osobowych.

TikTok odniósł się już do nałożonej kary wskazując, że organ nadzorczy nie wziął pod uwagę wdrożonego projektu Clover i przyjętych standardów bezpieczeństwa i planuje się od niej odwołać.

Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.

Stan prawny na dzień 06 maja 2025 r.

autor:

Olimpia Florek

Aplikant radcowski
+48 22 856 36 60 | o.florek@kglegal.pl

redaktor cyklu:

Mateusz Grosicki

Adwokat, wspólnik
+48 506 367 109 | m.grosicki@kglegal.pl

Nasze artykuły i alerty prawne możesz otrzymywać jako pierwszy, prosto na swoją skrzynkę mailową! Zapisz się do newslettera klikając w link lub skontaktuj się z nami pod adresem mailowym social@kglegal.pl, aby spersonalizować wysyłane treści.