Комисијата, која е национален регулатор за заштита на податоци во Ирска, претставува водечки надзорен орган за TikTok во рамките на Европската унија. Во септември 2021 година, Комисијата започна истрага против TikTok Technology Ltd и TikTok Ireland, со цел да ја утврди легалноста на преносот на лични податоци на корисниците од платформата TikTok од ЕЕА во Кина. Истрагата беше насочена кон тоа дали обезбедените информации за преносот на податоци биле во согласност со Општата регулатива на ЕУ за заштита на податоците (GDPR).
И покрај претходните уверувања дека податоците на корисниците од ЕЕА не се складираат на сервери во Кина, TikTok ја информираше Комисијата во април 2025 година дека во февруари 2025 година биле пронајдени кориснички податоци од ЕЕА на тие сервери.
„TikTok ја информираше Комисијата за заштита на податоци дека ова откритие значи дека компанијата дала неточни информации во текот на истрагата“, соопшти DPC.
Дес Хоган и Дејл Сандерленд, двајцата комесари кои ја водеа истрагата, утврдија дека TikTok го прекршил член 46(1) од GDPR во врска со преносот на кориснички податоци во Кина, како и член 13(1)(f) од GDPR, кој се однесува на транспарентноста при информирањето на корисниците.
Дополнително, Комисијата соопшти дека проценката на кинеските закони од страна на TikTok покажала дека тие не обезбедуваат еквивалентно ниво на заштита на личните податоци споредено со законите на ЕУ.
Посебно загрижувачки се кинеските закони, како што се Законот за борба против тероризмот и Законот за национална разузнавачка служба, кои значително отстапуваат од стандардите на ЕУ. Комисијата заклучи дека TikTok не ја проценил правилно правната рамка за заштита на податоците во Кина, што влијаело врз неговата способност да примени соодветни заштитни мерки и да обезбеди еквивалентно ниво на заштита за корисниците од ЕЕА.
Заменик-комесарот на DPC, Греам Дојл, изјави дека со преносот на лични податоци во Кина, TikTok го прекршил GDPR бидејќи „не успеал да потврди, гарантира и демонстрира дека личните податоци на корисниците од ЕЕА, до кои имало далечински пристап од страна на персонал во Кина, биле заштитени со ниво на заштита што е суштински еквивалентно со она што е гарантирано во ЕУ“.
Вкупната казна од 530 милиони евра се состои од 45 милиони евра за прекршување на член 13(1)(f) и 485 милиони евра за прекршување на член 46(1) од GDPR.
Покрај казната, Комисијата нареди TikTok да ја усогласи својата обработка на податоци со европските регулативи во рок од шест месеци. Одлуката вклучува и наредба за суспендирање на преносот на податоци кон Кина, доколку TikTok не ја усогласи обработката со регулативите во дадениот период.
TikTok изрази несогласување со одлуката на ирскиот регулатор и најави жалба. Компанијата тврди дека Комисијата не ги земала предвид безбедносните мерки спроведени преку „Проектот Clover“ – иницијатива вредна 12 милијарди евра, започната во 2023 година за заштита на податоците на европските корисници.
Компанијата потенцира дека никогаш не добила барање од кинеските власти за податоци на европски корисници, ниту пак некогаш доставила такви податоци.
Заменик-комесарот Дојл истакна дека DPC ги сфаќа овие прашања „многу сериозно“.
„Иако TikTok ја извести Комисијата дека податоците се веќе избришани, ние разгледуваме какви дополнителни регулаторни мерки може да бидат потребни, во консултација со нашите колеги од ЕУ“, изјави Дојл.
