TikTokは、アイルランドのデータ保護委員会(DPC)から5億3000万ユーロ(6億ドル)という巨額の罰金を科されました。これは、欧州経済領域(EEA)内のTikTokユーザーの個人データを中国に移転したことに関連しています。
この決定では、TikTokがEEAユーザーデータの中国への移転に関するEUのGDPR規則に違反し、またこの点に関する透明性要件も遵守していなかったと認定されました。
TikTokは、ユーザーデータを中国に移転したことで、EUから巨額の罰金を科されました。
罰金に加えて、TikTokは6ヶ月以内にデータ処理をGDPRに準拠させる義務を負っています。遵守しない場合、中国へのデータ移転は停止されます。
DPCのグラハム・ドイル副委員長は、この件について次のように述べています。
GDPRは、個人データが他国に移転される場合でも、EU内で提供される高いレベルの保護が継続されることを規定しています。 TikTokによる中国への個人データ移転は、GDPRに違反しました。これは、TikTokが、中国従業員がリモートアクセスしたEEAユーザーの個人データが、EU内で保証されているものと実質的に同等の保護を受けていることを検証、保証、または実証できなかったためです。TikTokは必要な評価を実施しなかったため、EU基準とは実質的に異なるとTikTokが認識した中国の反テロ法、反スパイ法、その他の法律に基づき、中国当局がEEAの個人データにアクセスする可能性について対処していませんでした。
TikTokは当初、EEAユーザーデータを中国にあるサーバーに保存していないと述べていましたが、先月、2月に発見した問題をDPC(情報処理委員会)に報告し、「限定的なEEAユーザーデータ」が実際には中国のサーバーに保存されていたことを明らかにしました。その結果、当初提供した情報が不正確であることが判明しました。TikTokはその後、DPCに対し、データを削除したことを報告しました。