Det irske databeskyttelsestilsyn (DPC) har idømt TikTok en administrativ bøde på 530 mio. euro for manglende overholdelse af GDPR ved overførsel af personoplysninger fra EU/EØS til Kina. DPC har samtidig udstedt påbud om at bringe behandlingen i overensstemmelse inden seks måneder, ellers skal overførslerne ophøre. Myndigheden konstaterede desuden, at visse EØS-data var lagret i Kina trods tidligere modstridende oplysninger.
Retlige rammer og afgørelse
Afgørelsen hviler på GDPR kapitel V, som kræver, at tredjelandsoverførsler sikrer et beskyttelsesniveau, der i det væsentlige svarer til EU-retten. Da Kina ikke er omfattet af en tilstrækkelighedsafgørelse, kræves andre overførselsgrundlag, typisk standardkontraktbestemmelser understøttet af effektive supplerende foranstaltninger.
DPC fandt, at TikTok ikke i tilstrækkelig grad havde verificeret, garanteret og dokumenteret et passende beskyttelsesniveau, bl.a. i lyset af potentielle myndighedsadgange efter kinesisk lov. Bøden omfatter 485 mio. euro for ulovlige overførsler og 45 mio. euro for utilstrækkelig gennemsigtighed over for brugerne.
Konsekvenser for virksomheder
Afgørelsen skærper kravet om dokumenteret risikohåndtering ved internationale dataflow. Dataansvarlige og databehandlere bør gennemføre og ajourføre Transfer Impact Assessments, vurdere tredjelandes retlige rammer og indføre tekniske og organisatoriske foranstaltninger som kryptering, adgangskontrol og dataminimering.
Derudover skal den registrerede informeres klart om overførsler, og organisationen skal kunne påvise efterlevelse gennem governance, kontrakter og logning. Følgende tiltag er særligt relevante ved overførsler til tredjelande uden tilstrækkelighedsafgørelse:
- Kortlægning af dataflow, leverandørkæde og lagringslokationer.
- Anvendelse af SCC kombineret med effektive supplerende foranstaltninger og håndhævelseskontroller.
- Opdatering af privatlivspolitikker, fortegnelser og beredskabsplaner samt løbende monitorering.
Sagen viser en fortsat skærpet håndhævelseslinje i EU og understreger, at mangelfuld transparens og utilstrækkelige sikkerhedsforanstaltninger kan udløse betydelige sanktioner ved grænseoverskridende behandling.
