TikTok: 530 millió eurós bírság Írországban az EU-s felhasználói adatok Kínába történő továbbítása miatt
Az ír Adatvédelmi Bizottság (DPC) 530 millió eurós bírságot szabott ki a TikTokra, mivel a platform nem biztosította megfelelően az európai felhasználói adatok védelmét, amikor azokat Kínába továbbították.
A vizsgálat megállapításai
- Adatvédelmi hiányosságok: A DPC megállapította, hogy a TikTok nem garantálta az EU-szabványoknak megfelelő adatvédelmet a Kínába továbbított adatok esetében, különösen figyelembe véve a kínai törvényeket, amelyek előírhatják az adatok megosztását a hatóságokkal.
-
Pontatlan információk: A TikTok kezdetben azt állította, hogy nem tárol európai felhasználói adatokat Kínában, azonban később elismerte, hogy bizonyos adatok mégis ott kerültek tárolásra.
-
Átláthatóság hiánya: A platform nem volt kellően átlátható a felhasználók számára az adatok Kínába történő továbbításával kapcsolatban, és nem végezte el a szükséges kockázatértékeléseket.
TikTok válasza és jövőbeli lépések
A TikTok közölte, hogy fellebbez a döntés ellen, és hangsúlyozta, hogy az érintett gyakorlatokat már korábban megszüntette. A vállalat emellett hivatkozott a 2023-ban indított Project Clover nevű kezdeményezésére, amelynek célja az európai felhasználói adatok biztonságosabb kezelése, például európai adatközpontok létrehozásával.
Következmények
A DPC hat hónapos határidőt adott a TikToknak, hogy megfeleljen az EU adatvédelmi előírásainak. Amennyiben ez nem történik meg, a platformnak fel kell függesztenie az európai felhasználói adatok Kínába történő továbbítását.
Szómagyarázat
-
DPC (Data Protection Commission): Írország adatvédelmi hatósága, amely az EU adatvédelmi szabályozásának (GDPR) betartását felügyeli.
-
GDPR (General Data Protection Regulation): Az EU általános adatvédelmi rendelete, amely szabályozza a személyes adatok kezelését és védelmét az EU-ban.
-
Project Clover: A TikTok kezdeményezése, amelynek célja az európai felhasználói adatok biztonságosabb kezelése, például európai adatközpontok létrehozásával.
-
ByteDance: A TikTok anyavállalata, amelynek székhelye Kínában található.
Ez az eset újabb példája annak, hogy az EU szigorúan fellép a személyes adatok védelme érdekében, különösen, ha azok harmadik országokba kerülnek továbbításra.
Milyen személyes adatokat küldenek az ilyen cégek Kinába és miért veszélyesebb a Kinába küldött adat, mintha ugyanazt egy amerikai cég küldené amerikába?
Nagyon jó kérdés, és a lényege az adatvédelem és a kormányzati hozzáférés közti különbségekben rejlik. Nézzük részletesen: Milyen személyes adatokat küldhetnek Kínába (vagy bárhová)?
A TikTokhoz és hasonló szolgáltatásokhoz kapcsolódóan a következő személyes adatok kerülhetnek továbbításra:
-
Felhasználói profiladatok (név, születési dátum, e-mail, telefonszám)
-
Tartózkodási hely (GPS-alapú vagy IP-cím alapján)
-
Készülék- és hálózati információk (eszköz típusa, operációs rendszer, SIM-kártya adatok)
-
Felhasználói viselkedés (milyen tartalmat nézel, mit kedvelsz, mit keresel)
-
Biometrikus adatok (pl. arcfelismerési minták, ha videókban vagy élőzésnél használják)
-
Kapcsolati háló (kontaktlista, interakció más felhasználókkal)
-
Metaadatok (mikor, hol, hogyan használod az alkalmazást)
Miért veszélyesebb, ha az adatokat Kínába továbbítják?
A fő probléma nem önmagában a földrajzi hely, hanem az adott ország jogrendszere és politikai rendszere:
- Kínai törvények állami hozzáférésről
Kínában a nemzeti hírszerzési törvény (2017) előírja, hogy minden vállalat – beleértve a magáncégeket is – köteles együttműködni a kínai hatóságokkal és titkosszolgálatokkal, ha az ország érdekei megkívánják.
Ez azt jelenti, hogy ha egy kínai hatóság kéri a TikTok anyavállalatától (ByteDance), hogy adjon ki bizonyos adatokat, törvényileg köteles teljesíteni – akár úgy is, hogy erről a felhasználót nem értesíti.
- Átláthatóság hiánya
Kínában nem működnek olyan független adatvédelmi felügyeletek, mint például az EU-ban a DPC vagy az USA-ban az FTC. Ez csökkenti annak az esélyét, hogy az állampolgárok vagy külföldiek ellenőrizni tudják, mit történik az adataikkal.
- Politikai visszaélések lehetősége
Kínában az internetes megfigyelést gyakran használják politikai ellenőrzésre, cenzúrára vagy elnyomásra. Bár egy európai felhasználó nem valószínű, hogy emiatt közvetlen veszélyben lenne, a tömeges adatgyűjtés így is felhasználható például profilozásra, manipulációra vagy célzott dezinformációra.
Miért kevésbé problémás, ha ugyanezeket az adatokat egy amerikai cég viszi Amerikába?
Bár az USA-ban is vannak adatvédelmi aggályok (pl. a NSA megfigyelési gyakorlatai), mégis van néhány különbség:
Jogorvoslati lehetőségek: Az USA-ban élő vagy ott szolgáltatást igénybe vevő európai állampolgárok számára léteznek jogi csatornák, például az új EU–USA adatvédelmi keretrendszer (Data Privacy Framework).
Független bíróságok: Az amerikai jogrendszer lehetőséget ad pereskedésre, panaszra, sőt a adatok törlésének követelésére is.
Átláthatóság: A nyugati sajtó és civil szervezetek nagyobb eséllyel derítenek fényt jogsértésekre, és ezekből akár politikai következmények is lehetnek.
Összegzés
Az EU-s szabályozás (GDPR) szerint bármilyen személyes adat harmadik országba történő továbbítása csak akkor engedhető meg, ha az adott ország biztosítja az ugyanolyan szintű védelmet, mint az EU. Mivel Kína esetében ez nem teljesül, a TikTok adatkezelése súlyos jogsértésnek minősül.
