TikTok po raz kolejny znalazł się w centrum skandalu związanego z prywatnością. Tym razem sprawa ma wymiar nie tylko technologiczny, ale też polityczny, bo dotyczy przekazywania danych obywateli Unii Europejskiej do Chin. Irlandzka Komisja Ochrony Danych (DPC), będąca głównym organem nadzorczym dla firm technologicznych mających swoje siedziby w Irlandii, ukarała chińskiego giganta grzywną w wysokości 530 milionów euro. Powodem było nielegalne transferowanie danych osobowych użytkowników z Europejskiego Obszaru Gospodarczego na terytorium Chińskiej Republiki Ludowej. To nie tylko kwestia naruszenia zapisów RODO, ale przede wszystkim – jak podkreślają unijni regulatorzy – poważne ryzyko dla bezpieczeństwa informacji obywateli UE. Najwyższa część tej kary, wynosząca 485 milionów euro, została nałożona za złamanie artykułu 46 ust. 1 RODO, który dotyczy legalności przekazywania danych do krajów trzecich. Pozostała część, 45 milionów euro, została doliczona za brak transparentności, co regulator zakwalifikował jako naruszenie obowiązku informacyjnego względem użytkowników.
Dane na chińskich serwerach mimo zaprzeczeń
DPC nie poprzestał jednak na samej grzywnie. TikTok otrzymał sześć miesięcy na dostosowanie swoich operacji do przepisów europejskich. W przeciwnym razie może zostać zmuszony do całkowitego wstrzymania transferu danych do Chin. Co istotne, nie chodzi tu wyłącznie o fizyczną lokalizację serwerów – która, jak zapewniała firma, miała znajdować się poza Chinami – ale o potencjalny dostęp do danych przez chińskie władze na podstawie lokalnych przepisów dotyczących bezpieczeństwa narodowego. Kwestia ta budzi poważne zastrzeżenia organów unijnych, które od lat zwracają uwagę, że chińskie prawo daje państwu szerokie możliwości inwigilacji, co jest sprzeczne z europejskimi standardami ochrony danych. Dodatkowo sytuację pogorszyło ujawnienie przez sam TikTok w kwietniu 2025 roku, że w lutym firma odkryła, iż część danych użytkowników z EOG była mimo wszystko przechowywana na chińskich serwerach. Stało się to wbrew wcześniejszym zapewnieniom, co zdaniem DPC jeszcze bardziej pogłębiło naruszenie zaufania.
TikTok się odwołuje, regulator nie odpuszcza
Sprawa nie jest jednak zakończona. TikTok zapowiedział, że zamierza się odwołać od decyzji. Firma przekonuje, że regulator nie uwzględnił ostatnich wdrożeń w ramach tzw. Project Clover – inicjatywy, która ma na celu zwiększenie bezpieczeństwa danych poprzez nowoczesne technologie, takie jak szyfrowanie przy dostępie czy zastosowanie prywatności różnicowej. Według TikToka, dane, które nie są objęte ścisłymi ograniczeniami, są przed udostępnieniem odpowiednio anonimizowane, a ich bezpieczeństwo potwierdzają niezależni eksperci.
Mimo to DPC pozostaje nieugięty, zwłaszcza po wcześniejszych kontrowersjach z udziałem tej platformy. W 2023 roku TikTok został już ukarany przez irlandzki organ grzywną w wysokości 345 milionów euro za naruszenie prywatności dzieci i stosowanie tzw. dark patterns podczas rejestracji kont. Rok wcześniej – przez francuski organ ochrony danych – musiał zapłacić 5 milionów euro za nieczytelne komunikaty dotyczące plików cookie. Grzywna w wysokości 530 milionów euro plasuje się na trzecim miejscu wśród najwyższych kar nałożonych przez irlandzki organ. Wyprzedzają ją jedynie sankcje wymierzone Amazonowi (746 mln euro) i Facebookowi (1,2 mld euro). Dla TikToka to poważny cios wizerunkowy, ale też sygnał, że unijne przepisy o ochronie danych nie są martwą literą. Nawet globalni giganci technologiczni muszą się liczyć z konsekwencjami, jeśli zlekceważą europejskie standardy.
