Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy korun) za nedostatky při ochraně osobních údajů, oznámila irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.
Vlastníkem TikToku je čínská společnost ByteDance. Firma podle komise neprokázala, že osobní údaje uživatelů ze zemí EU jsou chráněny vysokým zabezpečením, jak požadují unijní pravidla. Komise upozornila, že k některým osobním údajům evropských uživatelů TikToku mají vzdálený přístup zaměstnanci firmy v Číně.
TikTok provozuje platformu pro sdílení krátkých videí a podle irské komise neřešil potenciální přístup čínských úřadů k osobním údajům podle zákonů o kontrašpionáži a dalších předpisů.
TikTok tvrdí, že zákony dodržuje
TikTok se domnívá, že tyto požadavky se zásadně odchylují od standardů, které v EU platí. Provozovatel sítě je přesvědčen, že unijní zákony dodržuje. Argumentaci komise TikTok důrazně zpochybňuje a oznámil, že k udělení přísně kontrolovaného a omezeného vzdáleného přístupu využil právní rámec EU, konkrétně takzvané standardní smluvní doložky.
„Jedna věc je tvrzení provozovatele TikToku, společnosti ByteDance, a jak to doopravdy probíhá,“ podotkl k argumentu o doložkách expert na právo v oblasti informačních technologií Vladimír Smejkal.
„Zjistilo se, že TikTok je velice agresivní aplikace, která informačně vysaje celé zařízení, na kterém je nainstalována,“ připomněl Smejkal. „Má přístup do kalendáře, kontaktů, údajně k veškerému obsahu zařízení. Odesílá v pravidelných intervalech informace o zařízení, o tom, kde se nachází, o lokaci uživatele a v podstatě o všem, co se na zařízení děje.“
Firma také uvedla, že rozhodnutí plně nezohledňuje opatření pro zabezpečení dat, které bylo poprvé zavedeno v roce 2023. Uvedeným opatřením by se měl nezávisle monitorovat vzdálený přístup a mělo by být zajištěno, aby data uživatelů z EU byla ukládána ve vyhrazených datových centrech v Evropě a ve Spojených státech.
TikTok se plánuje proti rozhodnutí odvolat, podle Smejkala ale nemá moc velké šance na úspěch. „Prověřování trvá skoro pět let a jsem přesvědčen, že za těch pět let se shromáždilo dostatečné množství poznatků o tom, aby to rozhodnutí bylo dostatečně podložené,“ míní expert. „Samozřejmě musíme počítat s tím, že ByteDance bude v odvolání tvrdit řadu nepravdivých informací a ujištění, která se ukážou být nakonec nepravdivá.“
TikTok si v posledních letech získal značnou oblibu zejména mezi mladými z celého světa. Jen v Evropě má zhruba 175 milionů uživatelů. Firma tvrdí, že od čínských úřadů nikdy neobdržela žádost o data uživatelů z EU a nikdy jim je ani neposkytla.
„Je zde riziko, že toto rozhodnutí vytvoří precedens, který bude mít napříč Evropou dalekosáhlé důsledky pro firmy a celá odvětví působící v globálním měřítku,“ uvedl TikTok.
Komise: Část dat v Číně přechodně uložena byla
Irská komise zjistila, že ačkoli TikTok během čtyřletého vyšetřování tvrdil, že neukládá data uživatelů z EU na serverech v Číně, minulý měsíc firma uvedla, že podle jejího únorového zjištění bylo v Číně uloženo omezené množství dat. Už ale byla smazána.
„DPC bere ten vývoj z poslední doby velmi vážně. Zvažujeme, jaká další regulační opatření by mohla být opodstatněná,“ uvedl zástupce komisaře DPC Graham Doyle. TikTok přitom dostal pokutu od irské komise už podruhé. V roce 2023 mu DPC vyměřila sankci 345 milionů eur za nedostatky ve způsobu, jakým pečuje o osobní údaje dětí z EU.
Irská Komise pro ochranu údajů je v EU hlavním regulátorem pro mnoho globálních technologických firem, řada z nich má totiž své evropské sídlo právě v Irsku. Komise od roku 2018, kdy získala současné pravomoce, vyměřila pokutu i provozovateli profesní sítě LinkedIn, která patří Microsoftu, nebo společnosti Meta Platforms a provozovateli sociální sítě X, dříve Twitter.
Podle unijního nařízení o ochraně osobních údajů GDPR může hlavní regulátor vyměřit firmám pokutu až do čtyř procent jejich globálních příjmů. Nařízení GDPR se vztahuje i na členské státy Evropského hospodářského prostoru (EHS) Island, Lichtenštejnsko a Norsko. TikTok se kvůli obavám o národní bezpečnost dostal do potíží i ve Spojených státech.
