Dlaczego IOD powinni rekomendować rezygnację z prowadzenia firmowego TikToka

W maju 2025 roku TikTok Technologies został ukarany przez irlandzki organ nadzorczy karą finansową w wysokości 530 mln euro za niezgodne z RODO przekazywanie danych osobowych użytkowników do Chin. Decyzja ta dobitnie pokazuje, że korzystanie z tej platformy wiąże się z wysokim ryzykiem dla ochrony danych osobowych – zarówno z punktu widzenia zgodności z przepisami, jak i faktycznej kontroli nad przepływem danych.
Brak kontroli nad danymi i nielegalny transfer do państwa trzeciego
Organ nadzorczy stwierdził, że TikTok nie tylko przekazuje dane do Chin, państwa które nie zapewnia wystarczających gwarancji prywatności, ale też celowo wprowadza użytkowników w błąd, nie informując o tym transferze w swoich politykach prywatności. W praktyce oznacza to, że administratorzy, którzy decydują się na publikowanie danych osobowych (np. wizerunku pracowników, uczniów, uczestników wydarzeń itp.) za pośrednictwem TikToka, nie są w stanie zagwarantować zgodnego z prawem zabezpieczenia tych danych.
W praktyce oznacza to, że dalsza publikacja danych na TikTok, wymaga dodatkowej zgody.
Zgodnie z art. 49 ust. 1 lit. a RODO, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony, może nastąpić wyłącznie na podstawie wyraźnej zgody osoby, której dane dotyczą. Co istotne, zgoda ta musi być:
- świadoma – osoba musi wiedzieć, że jej dane będą przekazywane do Chin,
- dobrowolna – nie może być wymuszana ani uzależniona od skorzystania z usługi,
- konkretna i jednoznaczna – nie może być domyślna ani dorozumiana,
- poprzedzona poinformowaniem o potencjalnych ryzykach, wynikających z braku odpowiedniego poziomu ochrony danych w państwie trzecim.
Praktyczne uzyskanie takiej zgody – zwłaszcza w przypadku dzieci, osób zależnych czy uczestników wydarzeń – jest niezwykle trudne i obarczone znacznym ryzykiem prawnym. Ma to zastosowanie także do danych, które już zostały opublikowane na TikToku.
W przypadku braku zgód, administrator powinien niezwłocznie usunąć dane, gdyż ich dalsza publikacja (szczególnie zdjęć dzieci), będzie stanowić naruszenie RODO.
Należy pokreślić, że kwestia legalności publikowania danych, w związku z ich transferem to nie jedyny problem administratorów, którzy chcą w dalszym ciągu promować swoje działania na TikToku. Należałoby przeprowadzić ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, aby ocenić, czy dalsze prowadzenie profilu w TikToku będzie możliwe.
Read More