קנס של חצי מיליארד אירו על טיק-טוק - כך הודיעה נציבות הגנת המידע באירלנד (DPC) במסגרת החלטתה הסופית נגד טיק-טוק על הפרות של ה-GDPR.

החקירה של הנציבות באירלנד התמקדה בשני תחומים עיקריים:

• חוקיות העברת מידע בינמדינתית. הנציבות קבעה כי טיק-טוק הפרה את ה-GDPR משום שלא הצליחה לוודא, להבטיח ולהראות שמידע אישי של משתמשים מהאזור הכלכלי האירופי, שאליו נגשו מרחוק עובדיה בסין, קיבל רמת הגנה שווה במהותה לזו המובטחת בתוך האיחוד האירופי. טיק-טוק לא בחנה כראוי את רמת ההגנה הניתנת על ידי החוקים והכללים הסיניים, כולל חוק הלחימה בטרור, חוק מניעת ריגול, חוק הסייבר וחוק הביון הלאומי, אף שהיא זיהתה שהם חורגים מהותית מהכללים האירופיים.
• שקיפות. טיק-טוק גם הפרה את ה-GDPR משום שמדיניות הפרטיות שלה לאזור הכלכלי האירופי מאוקטובר 2021 לא הייתה מספקת. היא לא ציינה במפורש את סין כמדינה אליה מועבר מידע אישי, וגם לא הסבירה שהעיבוד כלל גישה מרחוק למידע המאוחסן בסינגפור ובארצות הברית על ידי עובדיה השוכנים בסין.

לאור מממצאים אלה, הנציבות הטילה קנסות מנהליים בסך כולל של 530 מיליון אירו. 45 מיליון אירו בשל הפרת השקיפות ו-485 מיליון יורו בשל העברת מידע בין מדינות שלא כדין. נוסף על כך, טיק-טוק נדרשה ליישר קו לעמידה ב-GDPR תוך שישה חודשים, והוצא נגדה צו להשהות את העברות לסין אם לא תציית ל-GDPR בתוך מסגרת זמן זו. הנציבות גם שוקלת פעילות פיקוח נוספת היות וטיק-טוק הודתה במסירת מידע שגוי במהלך החקירה: תחילה הכחישה שמידע אישי של משתמשים מהאזור הכלכלי האירופי אוחסן בשרתים בסין, רק כדי לאשר מאוחר יותר שאחסון מוגבל כזה אכן התרחש.