TikTok får betala över en halv miljard euro i böter efter att ha brutit mot EU:s dataskyddsregler. Enligt den irländska dataskyddskommissionen har plattformen olagligt överfört personuppgifter om europeiska användare till Kina – utan att vara transparent gentemot sina användare.
I ett beslut som markerar en tydlig signal om EU:s inställning till datasuveränitet, konstaterade Irlands dataskyddskommission (DPC) på fredagen att TikTok har brutit mot den allmänna dataskyddsförordningen (GDPR) på flera punkter. Det handlar dels om bristande transparens, dels om olaglig dataöverföring till Kina – utan att tillräckligt ha analyserat konsekvenserna av kinesisk övervakningslagstiftning.
Brister i transparens och säkerhetsbedömning
TikTok får 485 miljoner euro i böter för att ha överfört data till Kina och ytterligare 45 miljoner euro för att ha misslyckats med att informera användare om detta mellan 2020 och 2022. I beslutet konstateras att TikTok inte tillräckligt analyserat de risker som följer av kinesisk lag, som tillåter myndigheter att kräva tillgång till företagsdata.
– Kinesisk lagstiftning skiljer sig väsentligt från EU:s krav på dataskydd. Det här är inte förenligt med GDPR, vilket TikTok också erkänt under utredningen, säger DPC enligt Politico.
TikTok uppdaterade sin integritetspolicy 2022 och uppges nu vara mer i linje med EU:s krav. Men brottet hade då redan ägt rum.
En av de största GDPR-böterna någonsin
Totalt uppgår bötesbeloppet till 530 miljoner euro, vilket gör det till det tredje största beloppet någonsin under GDPR:s historia. TikToks europeiska huvudkontor ligger i Irland, vilket gör DPC till den ansvariga tillsynsmyndigheten för bolagets verksamhet i EU.
Det nya avslöjandet innebär också att TikToks tidigare försäkran – att inga europeiska användardata lagras i Kina – visar sig vara felaktig. Enligt DPC informerades tillsynsmyndigheten i april 2024 om att vissa “begränsade användardata från EES” faktiskt hade lagrats i Kina så sent som i februari.
TikTok planerar överklagan
TikTok har kommenterat beslutet och säger att man “sätter sig starkt emot” DPC:s slutsatser och kommer att överklaga. Företaget påpekar att man har tagit steg för att förbättra sina rutiner och att dataöverföringarna redan har stoppats.
Samtidigt kräver DPC att TikTok inom sex månader antingen slutar överföra data till Kina eller anpassar sin hantering till GDPR i sin helhet.
Ökat tryck på teknikjättar
Det här är ytterligare ett exempel på hur EU:s tillsynsmyndigheter ökar trycket på stora teknikplattformar, särskilt när det gäller datasäkerhet och skydd för medborgarnas integritet. Det är också första gången som DPC uttalar sig så tydligt om dataöverföringar just till Kina – ett land med växande geopolitiska spänningar kring informationshantering.
