TikTok kažnjen s 530 milijuna eura zbog prijenosa podataka korisnika u Kinu

TikTok je kažnjen s 530 milijuna eura od strane irske Komisije za zaštitu podataka (DPC) zbog kršenja Opće uredbe o zaštiti podataka (GDPR). Odluka je donesena nakon istrage koja je otkrila da je tvrtka nezakonito prenosila osobne podatke korisnika iz Europske unije prema Kini.

Prema nalazima DPC-a, TikTok je prekršio europske propise jer nije osigurao odgovarajuću razinu zaštite podataka u skladu sa standardima EU kada su im pristupale osobe u Kini. Posebno su istaknuti problemi u vezi s kineskim zakonima o protuterorizmu i protuspyjaži, koji se značajno razlikuju od europskih pravnih standarda o privatnosti. Regulator je također osudio TikTok zbog nedostatka transparentnosti jer korisnici nisu bili jasno informirani o tim prijenosima.

Tijekom istrage utvrđeno je da TikTokova politika privatnosti iz 2021. godine nije spominjala Kinu kao odredište za prijenos podataka, niti je detaljno opisivala obim obrada. Zbog tih nedostataka, izrečena je novčana kazna od 45 milijuna eura zbog povrede transparentnosti, dok je 485 milijuna eura kazna za nezakonite prijenose podataka.

Dodatno, DPC je TikToku odredio rok od šest mjeseci da obustavi sve nepravilne prijenose podataka. Iz kompanije su u travnju priznali da su određeni podaci europskih korisnika pohranjivani na poslužiteljima u Kini, čime su proturječili ranijim tvrdnjama iznesenima tijekom istrage.

TikTok tvrdi da nikada nije zaprimio niti odgovarao na zahtjeve kineskih vlasti za pristup podacima europskih korisnika te najavljuje žalbu na odluku. Istodobno, Komisija razmatra daljnje regulatorne mjere u suradnji s europskim nadzornim tijelima za zaštitu podataka, unatoč tome što je TikTok potvrdio da su sporni podaci u međuvremenu izbrisani.

Ova kazna predstavlja treću najveću izrečenu prema GDPR-u, nakon one od 1,2 milijarde eura izrečene Meti i 746 milijuna eura Amazonu.

TikTok je već dulje vrijeme pod povećalom europskih i američkih regulatora zbog zabrinutosti oko sigurnosti podataka i potencijalnog pristupa kineskih vlasti korisničkim informacijama. Europska komisija ranije je već ograničila korištenje aplikacije na službenim uređajima zaposlenika iz sigurnosnih razloga.

Kao odgovor na pritiske, TikTok je najavio projekt "Project Clover", kojim planira prebaciti pohranu podataka europskih korisnika u Irsku i Norvešku, unutar posebno izgrađenih centara. Taj je projekt sličan američkom "Project Texas", osmišljenom za zaštitu podataka američkih korisnika.

Unatoč tim pokušajima, regulatorna tijela sve više traže čvršće mehanizme za sprječavanje prekograničnih prijenosa prema jurisdikcijama koje nemaju ekvivalentnu zaštitu kao EU. GDPR propisuje stroge uvjete za prijenos osobnih podataka izvan EU, a ovo je jedan od najznačajnijih slučajeva njegove primjene protiv kineske povezanosti digitalnih platformi.

TikTokova pravna borba mogla bi potrajati godinama, no ova kazna dodatno jača poruke Europske unije o važnosti digitalnog suvereniteta i zaštite privatnosti građana unutar vlastitog pravnog okvira.

Kazna od 530 milijuna eura predstavlja značajan financijski i reputacijski udarac za TikTok, ali i dublji signal o pogoršanju regulatorne tolerancije prema kineski povezanim tehnološkim tvrtkama koje posluju na europskom tržištu.

U vrijeme kada TikTok nastoji proširiti svoje poslovanje u Europi i predstaviti se kao transparentna i pouzdana platforma, ovakva kazna ozbiljno narušava povjerenje javnosti, korisnika, ali i potencijalnih partnera, oglašivača i zakonodavaca. U državama poput Francuske, Nizozemske i Njemačke već su zabilježene inicijative za dodatno ograničavanje korištenja TikToka u školama i javnom sektoru.

Najava žalbe na odluku DPC-a otvara prostor za dugotrajan pravni proces, što TikToku nameće dodatne troškove i dugoročne regulatorne neizvjesnosti. Pritom, obveza prilagodbe postojećih politika privatnosti, pohrane i obrade podataka europskim standardima može rezultirati značajnim ulaganjima u infrastrukturu i upravljanje podacima.

Projekt "Project Clover", kojim TikTok planira lokalizirati pohranu i obradu podataka u europskim data centrima, vjerojatno će biti ubrzan kako bi se pokazala spremnost na suradnju s regulatorima. Međutim, njegova puna implementacija zahtijeva milijunske iznose ulaganja, uključujući izgradnju novih objekata, zapošljavanje lokalnih timova za nadzor i reviziju, te razvoj alata za transparentnost.

TikTok se u posljednje vrijeme pokušava pozicionirati i kao e-trgovinska platforma kroz TikTok Shop, ali ograničenja u korištenju korisničkih podataka mogla bi ograničiti personalizaciju oglasa i digitalnih proizvoda – što su ključne komponente prihoda iz oglašavanja. To može znatno usporiti rast monetizacijskih strategija u EU.

Ova odluka predstavlja i presedan za druge GDPR nadzorne postupke protiv globalnih platformi. Očekuje se da će druge nacionalne agencije, kao i Europski odbor za zaštitu podataka (EDPB), pojačati nadzor nad prijenosima podataka, posebno kada su uključene države koje nemaju „primjereni status“ iz perspektive EU prava o privatnosti.

TikTok je ovim slučajem suočen ne samo s visokom novčanom kaznom, nego i s potrebom duboke regulatorne transformacije svog poslovanja u Europi. Iako kratkoročno može podnijeti financijski udar, dugoročna održivost poslovanja na EU tržištu zahtijevat će temeljitu prilagodbu pravnim i političkim očekivanjima unije. U suprotnom, mogla bi uslijediti daljnja ograničenja, pad korisničke baze i marginalizacija na europskom digitalnom tržištu.