Υπό νέα έρευνα τελεί η δημοφιλής εφαρμογή διαμοιρασμού βίντεο TikTok, σχετικά με τη μεταφορά προσωπικών δεδομένων Ευρωπαίων χρηστών σε διακομιστές στην Κίνα. Η Ιρλανδική Αρχή Προστασίας Δεδομένων (Data Protection Commission — DPC), αρμόδια αρχή για το TikTok στην Ευρωπαϊκή Ένωση, ανακοίνωσε στις 10 Ιουλίου ότι ξεκινά νέα διαδικασία εξέτασης, εστιάζοντας στη νομιμότητα των εν λόγω μεταφορών βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).
Το TikTok, που ανήκει στην εταιρεία Bytedance με έδρα το Πεκίνο, καταχώρησε την έδρα της στην ΕΕ στην Ιρλανδία, καθιστώντας την ιρλανδική αρχή προστασίας της ιδιωτικής ζωής την κύρια εποπτική αρχή της εταιρείας εντός του συνόλου των 27 χωρών.
Η κίνηση αυτή έγινε μετά από την επιβολή προστίμου ύψους 530 εκατ. ευρώ στην εταιρεία, απόφαση που βασίστηκε σε τετραετή έρευνα των ιρλανδικών αρχών. Οι ρυθμιστές είχαν καταλήξει στο συμπέρασμα ότι το TikTok παραβίασε τη νομοθεσία της ΕΕ αποστέλλοντας δεδομένα χρηστών στην Κίνα.
Κατά την αρχική έρευνα, το TikTok είχε υποστηρίξει πως τα προσωπικά δεδομένα των Ευρωπαίων χρηστών δεν αποθηκεύονταν σε διακομιστές εντός της Κίνας, αλλά μπορούσαν να προσπελαστούν από εργαζομένους της εταιρείας στην Κίνα. Ωστόσο, σύμφωνα με τη δήλωση της DPC, τον Απρίλιο οι ρυθμιστές ενημερώθηκαν από το ίδιο το TikTok ότι ορισμένα δεδομένα χρηστών πράγματι είχαν αποθηκευτεί σε διακομιστές εντός Κίνας, γεγονός που αναιρούσε την προηγούμενη δήλωση.
Οι ιρλανδικές αρχές είχαν τότε εκφράσει έντονη ανησυχία για το γεγονός ότι το TikTok είχε υποβάλει ανακριβείς πληροφορίες. Μετά από διαβούλευση με άλλες ευρωπαϊκές αρχές προστασίας δεδομένων, αποφασίστηκε η εκκίνηση νέας έρευνας με αντικείμενο την τήρηση των υποχρεώσεων της εταιρείας ως προς τη μεταφορά δεδομένων στην Κίνα, όπως προβλέπει ο GDPR. Όπως έγινε γνωστό, το TikTok έχει ήδη ενημερωθεί για τη νέα έρευνα.
Κατά την ανακοίνωση της επιβολής του προστίμου τον Μάιο, η DPC είχε επισημάνει τους κινδύνους που απορρέουν από την κινεζική νομοθεσία περί αντικατασκοπείας, η οποία υποχρεώνει τις εταιρείες να παραδίδουν δεδομένα χρηστών στις αρχές κατόπιν αιτήματος. Οι ιρλανδικές αρχές ανέφεραν ότι το TikTok δεν έδωσε επαρκείς απαντήσεις για το ενδεχόμενο πρόσβασης των κινεζικών αρχών σε δεδομένα Ευρωπαίων χρηστών.
Στο πλαίσιο της απόφασης, η DPC διέταξε το TikTok να αναστείλει κάθε μεταφορά δεδομένων προς την Κίνα, εκτός αν η εταιρεία συμμορφωθεί με τις απαιτήσεις του GDPR εντός έξι μηνών.
Το TikTok είχε τότε εκφράσει έντονη διαφωνία με το πόρισμα, υποστηρίζοντας ότι οι μεταφορές δεδομένων διενεργούνται υπό αυστηρά ελεγχόμενες συνθήκες, βάσει των τυποποιημένων συμβατικών ρητρών της ΕΕ. Παράλληλα, προχώρησε σε έφεση κατά της απόφασης.
Η εταιρεία σημείωσε επίσης πως η απόφαση της DPC αφορούσε χρονική περίοδο που έληγε τον Μάιο του 2023, προτού τεθεί σε εφαρμογή το πρόγραμμα «Project Clover», το οποίο περιλαμβάνει τη δημιουργία τριών κέντρων αποθήκευσης δεδομένων εντός ΕΕ.
Σύμφωνα με την Κριστίν Γκραν, επικεφαλής δημόσιας πολιτικής και σχέσεων με κυβερνήσεις του TikTok στην Ευρώπη, το εν λόγω πρόγραμμα προσφέρει από τις αυστηρότερες εγγυήσεις προστασίας δεδομένων στη βιομηχανία, υπό την εποπτεία της ευρωπαϊκής εταιρείας κυβερνοασφάλειας NCC Group. Πρόσθεσε δε ότι η απόφαση δεν λαμβάνει επαρκώς υπ’ όψιν τα ενισχυμένα μέτρα ασφαλείας που έχουν ληφθεί.
Της Dorothy Li
Με πληροφορίες από το Reuters
