- Det spanske datatilsynet (AEPD) advarer om at TikTok gjenopptar overføringer av europeiske brukerdata til Kina til tross for en kjennelse som strider mot GDPR.
- Irland ila en bot på 530 millioner euro og beordret at forsendelsene skulle stanses, men domstolene har midlertidig suspendert forbudet.
- Europeiske myndigheter hevder at det kinesiske rettssystemet ikke garanterer beskyttelse tilsvarende den i Europa.
- Det spanske datatilsynet (AEPD) anbefaler å gjennomgå personverninnstillingene og til og med vurdere å stoppe bruken av TikTok på grunn av personvernrisikoer, spesielt for mindreårige.
La Spanish Agency for Data Protection (AEPD) har nok en gang reist bekymringer om TikTok ved å advare om at plattformen fortsetter å sende Europeiske brukeres personopplysninger til Kina og andre land utenfor EU. Til tross for en bot på flere millioner euro og en klar kjennelse fra EU-regulatorer, har informasjonsflyten til den asiatiske giganten gjenopptatt mens domstolene løser den juridiske tvisten.
For det spanske datatilsynet (AEPD) og resten av de europeiske personvernmyndighetene skaper dette scenariet en et område med juridisk usikkerhet noe som ikke er noen liten sak, spesielt med tanke på at TikTok har over 200 millioner brukere i Europa og rundt 23,5 millioner i SpaniaI sin siste advarsel går det spanske byrået et skritt videre og oppfordrer innbyggere, spesielt yngre, til å vurdere om det er verdt å fortsette å bruke det sosiale nettverket under disse forholdene.
Rekordbot og overgangsforbud … for øyeblikket satt på vent
Konfliktens opprinnelse ligger i etterforskningen som koordineres av de europeiske databeskyttelsesmyndighetene og ledes av Den irske databeskyttelseskommisjonen (DPC)som fungerer som TikToks hovedregulator i EU, gitt at det europeiske hovedkvarteret ligger i Dublin. Etter årevis med analyse konkluderte DPC med at overføringer av brukerdata fra Det europeiske økonomiske samarbeidsområdet til Kina De brøt personvernforordningen (GDPR).
Som et resultat innførte Irland en bot på 530 millioner euro og beordret korrigerende tiltak, inkludert å stanse overføringen av data til tredjeland der det ikke finnes noen beskyttelse som kan sammenlignes med den som tilbys i Europa. Regulatorene slo fast at selskapet ikke hadde vist at det, gitt tilgjengeligheten til informasjonen fra Kina, tilbød et sikkerhetsnivå og garantier som ligner på det som kreves i EU.
Problemet er ikke begrenset til eksistensen av fjerntilgang fra Kinamen snarere det juridiske rammeverket som denne tilgangen skjer under. Myndighetene i lokalsamfunnet har insistert på at kinesiske lover om nasjonal sikkerhet, kontraspionasje og antiterrorisme De tillater myndighetene å be om data fra teknologiselskaper når han anser det passende, noe som kolliderer med europeiske personvernstandarder.
Den irske resolusjonen inkluderte, i tillegg til den økonomiske straffen, en for å stanse overføringer Hvis TikTok ikke klarte å demonstrere at deres praksis var i samsvar med GDPR innen en spesifisert tidsramme, var det regulatoriske slaget betydelig: en rekordstor bot, en forpliktelse til å korrigere prosedyrer og en trussel om å blokkere dataflyt til Kina.
Selskapet presenterte imidlertid en anke til irske domstolerI november ble Irlands høyesterett enig midlertidig oppheve forbudet å overføre data mens rettstvisten løses, noe som i praksis lar TikTok opprettholde driften nesten som før, i hvert fall inntil det foreligger en endelig avgjørelse.
Overføringer gjenopptatt og en betinget rettskjennelse
Den midlertidige opphevelsen av vetoet betyr ikke at Brussel har endret standpunkt, og heller ikke at det sosiale nettverket anses å være fullt ut i samsvar med GDPR-kravene. Det retten har gjort er å tillate Dataoverføringer til Kina vil fortsette mens anken behandles.men pålegger TikTok ytterligere forpliktelser til åpenhet overfor brukerne sine.
Som et resultat av denne avgjørelsen har selskapet begynt å vise informasjon i selve applikasjonen. Informative merknader til millioner av europeiske brukere I disse meldingene forklarer plattformen, i varierende grad av detalj, hvordan brukernes data behandles, hvilke typer internasjonale overføringer som utføres, og at det pågår en rettsprosess i Irland. Ifølge plattformen selv har denne meldingen stort sett gått ubemerket hen, men innholdet er langt mer betydningsfullt enn det i utgangspunktet kan virke.
I varselet erkjenner TikTok at mens saken for Høyesterett pågår, Den vil fortsette å overføre brukerdata fra EØS til Kina som normalt.Det finnes ingen effektiv blokkering av informasjonsflyten, utover kravene om økt åpenhet og de interne restriksjonene som selskapet hevder å ha implementert.
Firmaet, som eies av den kinesiske gruppen ByteDance, insisterer på at det er «i fullstendig uenighet» med den irske myndighetens uttalelse og ønsker rettens midlertidige suspensjon av kjennelsen velkommen. Samtidig fastholder den at den tar databeskyttelse og personvern «svært alvorlig», og understreker at den har gjennomført en investering på rundt 12.000 milliarder euro i det den presenterer som et stort program for å beskytte informasjonen til europeiske brukere.
Innenfor den planen, kjent som KløverprosjektetTikTok hevder at dataene til innbyggere i Det europeiske økonomiske samarbeidsområdet nå lagres som standard i datasentre i Europa og USAmed strenge tilgangskontroller og uavhengige revisjoner utført av tredjeparter. Videre står det at ansatte i Kina ikke lenger har tilgang til spesielt sensitiv informasjon, som telefonnumre eller IP-adresser, og at bare en begrenset del av dataene sirkulerer globalt under ytterligere beskyttelsesmekanismer.
En juridisk vurdering som forblir uendret og tvil om Kina
Det spanske datatilsynet (AEPD) og dets europeiske motparter insisterer på at til tross for denne tekniske omkonfigureringen og selskapets konto, Den juridiske vurderingen som førte til boten og suspensjonsordren er fortsatt fullt ut gjeldendeMed andre ord, for regulatorer endrer ikke det faktum at overføringer har gjenopptatt under et pålegg den underliggende diagnosen: å sende data til Kina, under de nåværende forholdene, er ikke i samsvar med GDPR.
Kjernen i konflikten ligger i det faktum at Kinesisk lovgivning gir myndighetene tilgang til eiendeler og databaser tilhørende teknologiselskaper basert på statens interesser, inkludert nasjonale sikkerhetshensyn. I praksis betyr dette at hvis informasjon om europeiske brukere er tilgjengelig fra Kina, kan det ikke utelukkes at regjeringen eller til og med Folkets frigjøringshær kan be om utlevering av den.
Europeiske regulatorer understreker at det ikke finnes offentlige bevis for konkret myndighetstilgang til TikToks databaser. De bemerker imidlertid at Det kinesiske rettssystemet gjør det umulig å tilby «i hovedsak tilsvarende» beskyttelse i henhold til europeisk standard, et sentralt krav for at en internasjonal overføring skal være lovlig i henhold til GDPR.
Under etterforskningen havnet TikTok selv i trøbbel. Først hevdet de at Den lagret ikke data fra europeiske brukere på servere i KinaEtter hvert som saksbehandlingen skred frem, erkjente han imidlertid at en begrenset mengde informasjon hadde havnet der pga. en «intern feil»For myndighetene forsterker denne episoden oppfatningen om at selskapets tekniske og organisatoriske sikkerhetstiltak er utilstrekkelige.
Denne typen risiko er ikke ny i lokalsamfunnet. Bekymringen om ukontrollert tilgang til europeiske data fra tredjeland Dette førte til at EU-domstolen to ganger opphevet viktige dataoverføringsavtaler med USA (Safe Harbor og Privacy Shield). Det nye transatlantiske rammeverket er også under rettslig gransking, etter en annen klage innlevert av den samme aktivisten som lyktes med å ugyldiggjøre de to foregående.
AEPD-advarsel: gjennomgå personverninnstillingene dine og vurder om det er verdt å fortsette å bruke TikTok
I denne sammenhengen har det spanske datatilsynet valgt et uvanlig tydelig budskap til allmennheten. I tillegg til å minne brukerne om at TikTok Den opprettholder overføringer av personopplysninger fra europeiske brukere til tredjeland, inkludert Kina.Byrået anser det som «essensielt» at innbyggerne har forståelig informasjon om hva som skjer med informasjonen deres når de bruker applikasjonen.
Det spanske datatilsynet (AEPD) fokuserer spesielt på barn og ungesom bruker mest tid på sosiale medier og apper for korte videoer. Intensiv bruk av disse plattformene innebærer en massiv databehandling: seerhistorikk, interaksjoner, likerklikk, omtrentlig plassering, enhetsidentifikatorer, forbruksvaner og mye mer.
Derfor har Byrået publisert en rekke praktiske anbefalinger rettet mot alle som bruker digitale tjenester, men spesielt mot TikTok-brukere:
- Les varslene og personvernerklæringen nøye fra plattformene, i stedet for å godta dem automatisk.
- Se gjennom personverninnstillingene for hver app og sjekk de gitte tillatelsene (kamera, mikrofon, kontakter, bilder, plassering…), og fjern de som ikke er strengt nødvendige.
- Oppfør deg klokt med hensyn til hva som deles på sosiale medier, unngå formidling av sensitive data som helseinformasjon, seksuell legning, økonomisk situasjon eller identifikasjonsdokumenter.
- Vurder nøye om du vil fortsette å bruke tjenesten når det skjer dataoverføringer til land som ikke tilbyr et beskyttelsesnivå som ligner på det i Europa.
Den spanske regulatorens holdning utgjør ikke et formelt forbud, men det omsettes til et Eksplisitt anbefaling om å vurdere å forlate plattformen I tvilstilfeller. Budskapet er enkelt: Hvis databehandling involverer informasjon som potensielt ender opp i jurisdiksjoner der europeiske myndigheter mangler effektiv kontroll, må brukeren avgjøre om underholdningen som tilbys av appen oppveier denne risikoen.
Irlands rolle og europeisk samarbeid i TikTok-saken
TikTok har utpekt Irland som sin «hovedetablissement» i EuropaDette betyr at den irske databeskyttelseskommisjonen fungerer som ledende tilsynsmyndighet for selskapet innenfor EU. Denne ordningen er i samsvar med «one-stop shop»-mekanismen som er planlagt i GDPR, der et stort multinasjonalt konsern er underlagt en ledende regulator som koordinerer med andre nasjonale myndigheter.
I praksis betyr det at Irsk DPC leder viktige etterforskninger og sanksjoner mot TikTokI mellomtiden deltar organer som det spanske datatilsynet (AEPD) i prosessen gjennom Det europeiske databeskyttelsesrådet. Det var nettopp innenfor denne samarbeidsrammen at uttalelsen ble nådd som anså dataoverføringene til Kina som ulovlige og opprettholdt boten på 530 millioner euro.
Det spanske datatilsynet (AEPD) har minnet oss på at forblir involvert i samarbeids- og sammenhengsmekanismer som er fastsatt i GDPR, og som fortsetter å overvåke prosedyren innenfor sitt ansvarsområde. Selv om den juridiske kampen er konsentrert i de irske domstolene, vil utfallet få konsekvenser i hele Unionen, både for TikTok og for andre plattformer som opererer med forretningsmodeller basert på intensiv databehandling.
Samtidig har diverse europeiske regulatorer og EU-kommisjonen selv økt presset på plattformen for å bidra Verifiserbare bevis på at europeiske brukerdata ikke er tilgjengelige fra Kinaeller at hvis det finnes fjerntilgang, skjer det under forhold som er kompatible med GDPR. Inntil disse punktene er fullstendig avklart, råder den offisielle meldingen til å utvise ekstrem forsiktighet.
Denne saken bør settes i en bredere kontekst: den økende granskingen av apper og sosiale nettverk som krever at man oppretter en konto og godtar bruk av personopplysninger som et krav for å få tilgang til tjenesten. Det som i årevis var en nesten automatisk gest – å trykke på «godta» uten å lese – skaper nå mer skepsis, både blant brukere og institusjoner, gitt vanskeligheten med å vite nøyaktig hvilken informasjon som samles inn, hvem den deles med og i hvilket land den ender opp med å bli lagret.
Utviklingen av denne konflikten mellom TikTok og europeiske regulatorer har dermed blitt en slags casestudie om EUs faktiske kapasitet å håndheve sine databeskyttelsesregler mot store globale plattformer med røtter utenfor EU. Utfallet i de irske domstolene vil sette presedens for fremtidige sammenstøt mellom personvern, kommersielle interesser og juridiske rammeverk like forskjellige som de i Europa og Kina.
I mellomtiden befinner europeiske brukere seg i en vanskelig situasjon: de fortsetter å bruke en enormt populær app, men vet at Noen av dataene dine kan fortsatt være tilgjengelige fra Kina så lenge rettssaken varer. Mellom bekvemmeligheten av å fortsette å dele videoer og advarslene fra myndighetene, må hver enkelt person bestemme hvor de trekker grensen for sitt eget personvern.
