TikTok čelí rekordní pokutě 530 milionů eur za přenos dat do Číny

Evropské regulační orgány opět ukázaly, že přenos osobních údajů mimo Evropský hospodářský prostor (EHP) podléhá přísné kontrole. Irský Úřad pro ochranu osobních údajů (DPC) uložil platformě TikTok rekordní pokutu ve výši 530 milionů eur za porušení GDPR, konkrétně za nezákonný přenos dat evropských uživatelů do Číny a nedostatečnou transparentnost ohledně těchto praktik.

Klíčové závěry vyšetřování

Vyšetřování DPC začalo v roce 2021 a zaměřovalo se na způsob, jakým TikTok zpracovává osobní údaje uživatelů z EHP. Výsledkem je zjištění, že:

TikTok porušil článek 46(1) GDPR, protože neprokázal, že zpracování dat v Číně zajišťuje rovnocennou úroveň ochrany jako v EU.

Společnost poskytla DPC nepravdivé informace, když tvrdila, že neukládá data uživatelů z EHP na čínských serverech – později přiznala, že k tomu došlo kvůli systémové chybě od února 2025.

Úřad také konstatoval, že TikTok neřešil obavy z potenciálního přístupu čínských úřadů k datům na základě tamních zákonů proti terorismu a špionáži, které se „materiálně liší“ od standardů EU.

Součástí rozhodnutí je také nařízení, aby TikTok přerušil přenos dat do Číny a uvedl své zpracování do souladu s GDPR do 6 měsíců.

Reakce TikToku a otázky důvěry

Společnost se brání s odvoláním na projekt Clover – iniciativu na ochranu evropských dat. Podle vyjádření Christine Grahn, vedoucí pro vládní vztahy TikToku v EU, rozhodnutí nezohledňuje opatření, která již byla přijata, a připomíná, že TikTok nikdy neobdržel žádost o data od čínských úřadů.

Nicméně reputační dopad je značný. Jde o druhou významnou sankci – v roce 2023 byla TikToku udělena pokuta 345 milionů eur za porušení GDPR při nakládání s daty dětí.

Co si z toho mají odnést firmy a odborníci na kyberbezpečnost?

Lokalita zpracování dat je klíčová

Přenos dat mimo EHP vyžaduje doložení, že země příjemce poskytuje odpovídající úroveň ochrany – zejména při přenosech do jurisdikcí jako Čína, kde existují zákony umožňující státní přístup k datům.

Transparentnost není volitelná

Organizace musí být zcela transparentní ohledně toho, kde a jak jsou data zpracovávána. Poskytnutí neúplných nebo zavádějících informací regulačním úřadům může mít závažné právní i finanční důsledky.

Technologické iniciativy nestačí samy o sobě

I když společnosti implementují bezpečnostní projekty (např. Project Clover), je klíčové, aby byly jejich principy jasně komunikovány a právně podloženy. Interní ochranná opatření nemohou nahradit soulad s regulacemi.

Závěr

Tento případ je varováním nejen pro globální platformy, ale i pro evropské organizace, které spolupracují s třetími stranami mimo EHP. GDPR není pouze právní rámec, ale závazný standard, jehož porušení může znamenat obrovské finanční a reputační škody. Firmy by měly pravidelně revidovat své datové toky, smlouvy se zpracovateli i bezpečnostní architekturu, aby předešly podobným rizikům.

Zdroj ilustračního obrázku: vygenerováno pomocí AI