Πρόστιμο ύψους 530 εκατ. ευρώ επέβαλε στην TikTok η ιρλανδική ρυθμιστική αρχή απορρήτου, για την αποστολή δεδομένων από Ευρωπαίους χρήστες της δημοφιλούς πλατφόρμας στην Κίνα.

Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) –η οποία ηγείται της εποπτείας της ιδιωτικότητας για το TikTok στην Ευρωπαϊκή Ένωση– απεφάνθη πως η ναυαρχίδα της ByteDance παραβίασε την ευρωπαϊκή νομοθεσία περί προστασίας προσωπικών δεδομένων (GDPR) εξαιτίας της μεταφοράς δεδομένων χρηστών στην Κίνα.

Η ρυθμιστική αρχή έδωσε στο TikTok προθεσμία έξι μηνών για να συμμορφωθεί με το κανονιστικό πλαίσιο. Σε διαφορετική περίπτωση, θα επιβληθεί αναστολή των μεταφορών δεδομένων προς την Κίνα.

Βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων, επιτρέπεται η μεταφορά δεδομένων εκτός Ένωσης μόνο εάν υπάρχουν εγγυήσεις ότι διατηρείται ισοδύναμο επίπεδο προστασίας.

«Η TikTok ακολούθησε τους κανόνες της Ευρωπαϊκής Ένωσης», απαντά η πλατφόρμα

Σχετικά με την καταδικαστική απόφαση για το TikTok, έπειτα από την έρευνα που διεξήγαγε η Ιρλανδική Αρχή Προστασίας Δεδομένων (DPC) και το πρόστιμο που επιβλήθηκε, ύψους 530 εκατ. ευρώ, η Κριστίν Γκραν (Christine Grahn), επικεφαλής Δημόσιας Πολιτικής & Κυβερνητικών Σχέσεων – Ευρώπη του TikTok, ανέφερε τα εξής:

«Σήμερα, η Ιρλανδική Αρχή Προστασίας Δεδομένων (DPC) δημοσίευσε την τελική της απόφαση στο πλαίσιο της έρευνας σχετικά με τη συμμόρφωση της TikTok με τις απαιτήσεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) όσον αφορά τη διαβίβαση Δεδομένων προσωπικού χαρακτήρα στην Κίνα.

Η απόφαση επικεντρώνεται κυρίως σε μία συγκεκριμένη χρονική περίοδο πριν από χρόνια, πριν από την εφαρμογή του Project Clover το 2023, της πρωτοβουλίας μας για την ασφάλεια των δεδομένων, ύψους 12 δισεκατομμυρίων ευρώ. Η ίδια η DPC κατέγραψε στην έκθεσή της αυτό που η TikTok έχει δηλώσει επανειλημμένα: δεν έλαβε ποτέ αίτημα για Δεδομένα Ευρωπαίων χρηστών από τις κινεζικές αρχές και δεν έχει παραχωρήσει ποτέ Δεδομένα Ευρωπαίων χρηστών σε αυτούς.

Η πραγματικότητα είναι ότι το Project Clover διαθέτει μερικές από τις αυστηρότερες ασφάλειες δεδομένων στον κλάδο, συμπεριλαμβανομένης της πρωτοφανούς ανεξάρτητης εποπτείας από την NCC Group, μιας κορυφαίας ευρωπαϊκής εταιρείας κυβερνοασφάλειας. Η απόφαση αποτυγχάνει να λάβει πλήρως υπόψη της αυτά τα σημαντικά μέτρα ασφάλειας δεδομένων.

Με 175 εκατομμύρια χρήστες σε όλη την Ευρώπη, περισσότερους από 6.000 υπαλλήλους στην περιοχή και μία πλατφόρμα που βοήθησε τις μικρές επιχειρήσεις να συνεισφέρουν 4,8 δισεκατομμύρια ευρώ στο ΑΕΠ και πάνω από 51.000 θέσεις εργασίας, η TikTok είναι βαθιά συνδεδεμένη με την ευρωπαϊκή οικονομία.

Η απόφαση αυτή έχει επιπτώσεις όχι μόνο για την TikTok, αλλά για κάθε εταιρεία στην Ευρώπη που δραστηριοποιείται σε παγκόσμιο επίπεδο. Διαφωνούμε με την απόφαση αυτή και σκοπεύουμε να ασκήσουμε πλήρη έφεση κατά αυτού.

Η TikTok ακολούθησε τους κανόνες της Ευρωπαϊκής Ένωσης. Αυτή δεν είναι η πρώτη απόφαση της DPC σχετικά με τη διαβίβαση δεδομένων εκτός Ευρώπης. Το 2023, η Αρχή επέβαλε πρόστιμο – ρεκόρ ύψους € 1,2 δισεκατομμυρίων στη Meta, δίνοντας την εντολή να αναστείλει τις μεταφορές δεδομένων προς τις ΗΠΑ, συμπεραίνοντας ότι οι Ηνωμένες Πολιτείες δεν παρέχουν «επαρκή» προστασία στα προσωπικά δεδομένα των Ευρωπαίων.

Μόλις 15 χώρες έχουν συνάψει συμφωνίες επάρκειας δεδομένων με την ΕΕ – ρυθμίσεις που επιτρέπουν την ελεύθερη και αξιόπιστη ροή δεδομένων πέρα από τα σύνορα. Ως αποτέλεσμα, αμέτρητες εταιρείες βασίζονται σε αυτό που είναι γνωστό ως Τυποποιημένες Συμβατικές Ρήτρες (Standard Contractual Clauses SCC), νομικά πλαίσια προεγκεκριμένα για τη διεθνή ανταλλαγή δεδομένων, για να διευκολύνουν την απομακρυσμένη πρόσβαση σε δεδομένα – που αναφέρονται ως μεταφορές δεδομένων – από εργαζόμενους σε χώρες που δε διαθέτουν αυτό το καθεστώς.

H DPC ισχυρίζεται ότι δεν προβήκαμε στις απαραίτητες αξιολογήσεις. Αυτό το αμφισβητούμε σθεναρά, καθώς προχωρήσαμε σε λεπτομερείς αξιολογήσεις με τη συμβουλή εξωτερικών δικηγορικών γραφείων και εμπειρογνωμόνων.

Πέρα από την αποτυχία της DPC να εξετάσει ουσιαστικά τις εκτεταμένες δικλείδες ασφαλείας που εφαρμόστηκαν στο πλαίσιο του Project Clover, είμαστε απογοητευμένοι που στοχοποιηθήκαμε παρά το γεγονός ότι στηριζόμαστε στον ίδιο νομικό μηχανισμό που εφαρμόζουν χιλιάδες άλλες εταιρείες που παρέχουν υπηρεσίες στην Ευρώπη. Όπως πολλοί οργανισμοί που δραστηριοποιούνται σε παγκόσμιο επίπεδο, η TikTok χρησιμοποίησε το νομικό πλαίσιο της ΕΕ, συγκεκριμένα τις Τυποποιημένες Συμβατικές Ρήτρες, για να παραχωρήσει αυστηρά ελεγχόμενη και περιορισμένη πρόσβαση σε υπαλλήλους σε χώρες χωρίς συμφωνίες επάρκειας προστασίας δεδομένων.

Η προσέγγιση αυτή ευθυγραμμίζεται πλήρως με τους κανόνες που έχει θεσπίσει η Ευρωπαϊκή Ένωση και είμαστε σταθερά διαφανείς όσον αφορά τις πρακτικές μας. Σε αντίθεση με ορισμένες άλλες εταιρείες, επεξηγούμε με σαφήνεια αυτούς τους μηχανισμούς στην πολιτική απορρήτου μας και στις επικοινωνίες μας με την ευρωπαϊκή μας κοινότητα, η οποία αριθμεί πλέον πάνω από 175 εκατομμύρια άτομα.

Το Project Clover παρέχει ήδη άνευ προηγουμένου προστασία στα δεδομένα των Ευρωπαίων χρηστών

Το 2023, η TikTok άρχισε να αναπτύσσει το Project Clover στην Ευρώπη, μία επένδυση ύψους € 12 δισεκατομμυρίων που παρέχει απαράμιλλες δικλείδες ασφαλείας για τα δεδομένα των Ευρωπαίων χρηστών.

Πρόσφατα ανακοινώσαμε ένα σημαντικό ορόσημο στη συνεχή μας δέσμευση για την ασφάλεια των δεδομένων στην Ευρώπη: μία επένδυση ύψους 1 δισεκατομμυρίου ευρώ για τη δημιουργία του πρώτου μας κέντρου δεδομένων στη Φινλανδία. Πολλές παγκόσμιες εταιρείες που δραστηριοποιούνται στην Ευρώπη έχουν υπαλλήλους στην Κίνα – συμπεριλαμβανομένων των ανταγωνιστών μας.

Ωστόσο, καμία δεν έχει λάβει τα μέτρα που έχει λάβει η TikTok. Μέσω του Project Clover, προχωρήσαμε περισσότερο από οποιονδήποτε άλλον στην αντιμετώπιση υποθετικών κινδύνων με πραγματικά, απτά μέτρα προστασίας:

Τα ευρωπαϊκά μέτρα ασφαλείας των δεδομένων μας που εφαρμόζονται στο πλαίσιο του Project Clover, συμπεριλαμβανομένων των πρωτοκόλλων απομακρυσμένης πρόσβασης και μεταφοράς δεδομένων, παρακολουθούνται, ελέγχονται και επαληθεύονται πλέον ανεξάρτητα όλο το εικοσιτετράωρο από την αναγνωρισμένη ευρωπαϊκή εταιρεία κυβερνοασφάλειας NCC Group – ένα επίπεδο ανεξάρτητης εποπτείας και διαφάνειας που δεν συναντάται σε καμία άλλη διαδικτυακή πλατφόρμα..

Τα δεδομένα των Ευρωπαίων χρηστών μας αποθηκεύονται πλέον εξ ορισμού σε έναν ειδικά διαμορφωμένο ευρωπαϊκό θύλακα δεδομένων, ο οποίος επί του παρόντος φιλοξενείται σε κέντρα δεδομένων στην Ευρώπη και τις Ηνωμένες Πολιτείες.

Έχουμε εισαγάγει επιπλέον ψηφιακά φράγματα ασφαλείας, γνωστά ως πύλες ασφαλείας. Οι πύλες αυτές, που παρακολουθούνται ανεξάρτητα από τον όμιλο NCC, αποτελούν μέρος ενός ολοκληρωμένου συστήματος τεχνικών πρωτοκόλλων που διασφαλίζουν ότι μόνο εγκεκριμένοι υπάλληλοι μπορούν να έχουν πρόσβαση σε συγκεκριμένους τύπους δεδομένων, περιορίζοντας περαιτέρω την εσωτερική πρόσβαση – συμπεριλαμβανομένου του αποκλεισμού πρόσβασης σε δεδομένα με περιορισμένη πρόσβαση, όπως ο αριθμός τηλεφώνου, το email και η διεύθυνση IP, που είναι αποθηκευμένα στον θύλακα από υπαλλήλους στην Κίνα.

Στο πλαίσιο του Project Clover, η TikTok έχει εφαρμόσει προηγμένες τεχνολογίες ενίσχυσης της ιδιωτικότητας (PET), όπως η κρυπτογράφηση κατά την πρόσβαση και η διαφορετική ιδιωτικότητα, για να διασφαλίσει ότι τα δεδομένα που δεν έχουν περιορισμούς, να αποταυτοποιούνταιι πριν αποκτήσουν πρόσβαση οι εργαζόμενοι στην Κίνα. Το σημαντικότερο είναι ότι ανεξάρτητοι εμπειρογνώμονες κυβερνοασφάλειας της NCC Group έχουν επαληθεύσει ότι αυτά τα μέτρα διασφάλισης λειτουργούν όπως προβλέπεται.

Εάν τα εκτεταμένα μέτρα που εφαρμόζονται στο πλαίσιο του Project Clover, τα οποία αποτελούν τις πιο ισχυρές και αυστηρές δικλείδες ασφαλείας των δεδομένων στον κλάδο μας και πέραν αυτού, καθώς και η ανεξάρτητη παρακολούθηση από τρίτους από τον Όμιλο NCC, θεωρούνται ανεπαρκή, είναι εύλογο να αναρωτηθούμε: τι θα μπορούσε να θεωρηθεί επαρκές; Είναι λυπηρό το γεγονός ότι η DPC δεν φαίνεται να έχει δώσει στις εκτενείς αυτές διασφαλίσεις την ουσιαστική προσοχή που δικαιολογείται.

Η απόφαση αυτή κινδυνεύει να δημιουργήσει δεδικασμένο με εκτεταμένες συνέπειες για εταιρείες και ολόκληρους κλάδους σε όλη την Ευρώπη που δραστηριοποιούνται σε παγκόσμια κλίμακα. Επιφέρει πλήγμα στην ανταγωνιστικότητα της Ευρωπαϊκής Ένωσης. Μέσω του Project Clover, μιας εθελοντικής πρωτοβουλίας πολλών δισεκατομμυρίων ευρώ, η TikTok έχει εφαρμόσει μία ολοκληρωμένη λύση που προσφέρει απαράμιλλη προστασία για τα δεδομένα και το απόρρητο των Ευρωπαίων χρηστών, διασφαλίζοντας ταυτόχρονα τις ροές δεδομένων παγκοσμίως και υποστηρίζοντας τη συνεχή καινοτομία.

Σε μία περίοδο που οι ευρωπαϊκές επιχειρήσεις και οικονομίες έχουν ανάγκη από καινοτομία, ανάπτυξη και θέσεις εργασίας, πιστεύουμε ότι η ΕΕ θα πρέπει να καλωσορίσει και να υποστηρίξει λύσεις όπως το Project Clover, ως έναν τρόπο διευκόλυνσης της ασφαλούς ροής δεδομένων μεταξύ της ΕΕ και χωρών χωρίς συμφωνίες επάρκειας, διασφαλίζοντας παράλληλα την πιο ισχυρή προστασία της ασφάλειας και της ιδιωτικής ζωής των ευρωπαϊκών δεδομένων».