טיקטוק הפרה את כללי ה-GDPR הנוגעים להעברת מידע אישי אירופאי לסין ולחוסר שקיפות - כך קבע בהחלטתו הסופית רגולטור הפרטיות האירי (ה-DPC), שהטיל קנסות מנהליים בסכום כולל של 530 מיליון אירו וצו המחייב את טיקטוק להתאים את עיבוד המידע לכללי ה-GDPR תוך 6 חודשים. ההחלטה כוללת גם צו המחייב את טיקטוק להפסיק את שיתוף המידע עם סין, אם טיקטוק לא תוכל להבטיח הגנה נאותה למידע המועבר לסין.

במסגרת החקירה, מצא ה-DPC כי טיקטוק לא הצליחה לאמת, להבטיח או להראות שהמידע האישי האירופאי מוגן ברמת הגנה שווה ערך לזו המובטחת באיחוד האירופי כאשר צוותים בסין ניגשים אליו מרחוק. טיקטוק גם לא לקחה בחשבון את הגישה האפשרית של הרשויות הסיניות למידע האישי האירופאי במסגרת חוקים סיניים נגד טרור, ריגול נגד וחוקים אחרים שחורגים מהסטנדרטים של האיחוד האירופי.

ה-DPC מצא גם כי טיקטוק לא גילתה שקיפות מלאה במהלך החקירה, כשהודיעה ל-DPC שהיא לא שומרת מידע אירופאי בשרתים הממוקמים בסין. רק בחודש שעבר טיקטוק הודיעה ל-DPC על בעיה שגילתה בפברואר 2025, שגרמה לשמירת מידע אירופאי בשרתים בסין - כך שלמעשה טיקטוק לא מסרה מידע מדויק בחקירה. טיקטוק הודיעה ל-DPC שהמידע שאוחסן בשרתים בסין נמחק מאז, אך ה-DPC שוקל לנקוט בפעולות נוספות בעתיד, ככל שהדבר יהיה מוצדק.

בתגובה להחלטה, מסרה טיקטוק כי ההחלטה מתמקדת בתקופה נקודתית מלפני שנים, לפני יישום יוזמת אבטחת המידע של החברה ב-2023, ואינה משקפת את אמצעי ההגנה הקיימים כעת בחברה. טיקטוק גם טוענת כי מעולם לא קיבלה בקשה מהרשויות הסיניות למידע על משתמשים אירופאים, ומעולם לא סיפקה אותו. טיקטוק אינה מסכימה עם ההחלטה ומתכוונת לערער עליה במלואה.