Dlaczego IOD powinni rekomendować rezygnację z prowadzenia firmowego TikToka
W maju 2025 roku TikTok Technologies został ukarany przez irlandzki organ nadzorczy karą finansową w wysokości 530 mln euro za niezgodne z RODO przekazywanie danych osobowych użytkowników do Chin. Decyzja ta dobitnie pokazuje, że korzystanie z tej platformy wiąże się z wysokim ryzykiem dla ochrony danych osobowych – zarówno z punktu widzenia zgodności z przepisami, jak i faktycznej kontroli nad przepływem danych.
Brak kontroli nad danymi i nielegalny transfer do państwa trzeciego
Organ nadzorczy stwierdził, że TikTok nie tylko przekazuje dane do Chin, państwa które nie zapewnia wystarczających gwarancji prywatności, ale też celowo wprowadza użytkowników w błąd, nie informując o tym transferze w swoich politykach prywatności. W praktyce oznacza to, że administratorzy, którzy decydują się na publikowanie danych osobowych (np. wizerunku pracowników, uczniów, uczestników wydarzeń itp.) za pośrednictwem TikToka, nie są w stanie zagwarantować zgodnego z prawem zabezpieczenia tych danych.
W praktyce oznacza to, że dalsza publikacja danych na TikTok, wymaga dodatkowej zgody.
Zgodnie z art. 49 ust. 1 lit. a RODO, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony, może nastąpić wyłącznie na podstawie wyraźnej zgody osoby, której dane dotyczą. Co istotne, zgoda ta musi być:
świadoma – osoba musi wiedzieć, że jej dane będą przekazywane do Chin,
dobrowolna – nie może być wymuszana ani uzależniona od skorzystania z usługi,
konkretna i jednoznaczna – nie może być domyślna ani dorozumiana,
poprzedzona poinformowaniem o potencjalnych ryzykach, wynikających z braku odpowiedniego poziomu ochrony danych w państwie trzecim.
Praktyczne uzyskanie takiej zgody – zwłaszcza w przypadku dzieci, osób zależnych czy uczestników wydarzeń – jest niezwykle trudne i obarczone znacznym ryzykiem prawnym. Ma to zastosowanie także do danych, które już zostały opublikowane na TikToku.
W przypadku braku zgód, administrator powinien niezwłocznie usunąć dane, gdyż ich dalsza publikacja (szczególnie zdjęć dzieci), będzie stanowić naruszenie RODO.
Należy pokreślić, że kwestia legalności publikowania danych, w związku z ich transferem to nie jedyny problem administratorów, którzy chcą w dalszym ciągu promować swoje działania na TikToku. Należałoby przeprowadzić ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, aby ocenić, czy dalsze prowadzenie profilu w TikToku będzie możliwe.
Transfer danych do Chin oznacza w szczególności, że mogą być analizowane w sposób wykraczający poza pierwotny cel ich zebrania (np. do budowania profili, systemów rekomendacji, oceny behawioralnej, łączenie z innymi danymi). Mogą być wykorzystywane do przeprowadzania celowanych ataków na urządzenia lub profil użytkownika (np. żeby przejąć kontrolę nad nimi lub skłonić do określonego działania), ale także przez mechanizmy sztucznej inteligencji (np. do stworzenia kompromitujących treści, w szczególności zdjęć lub filmów). Brak odpowiednich mechanizmów kontroli przetwarzania danych oznacza, że mogą być wykorzystane w dowolny, negatywny sposób, w tym do szerzenia dezinformacji (może to mieć wpływ na decyzje zakupowe, ale też życiowe) lub skłaniania do określonego działania (przemocy, wykluczenia, samookaleczenia). Szczególnie narażone są dzieci, które nie potrafią rozpoznawać fałszywych informacji ani kontaktujących się z nimi botów.
Zadaniem inspektora ochrony danych jest poinformowanie administratora, u którego jest wyznaczony, o powstałych ryzykach i przedstawienie swoich rekomendacji. Inspektor powinien przede wszystkim wskazać, że dalsze korzystanie z TikToka może nieść nie tylko skutki prawne, w tym ewentualną karę finansową, ale także uchodzić za działanie naruszające na ryzyka utraty kontroli nad swoimi danymi, osób które będą ten profil prowadzić oraz których dane będą publikowane.
Reasumując, z uwagi na swoje powiązania z Chinami i brak transparentnych mechanizmów kontroli nad przekazywaniem danych, TikTok nie spełnia wymogów RODO. Jako inspektorzy ochrony danych mamy obowiązek doradzać administratorom, w szczególności zrezygnowanie z dalszego korzystania ze skompromitowanej platformy na rzecz alternatywnych rozwiązań. W przypadku silnego nacisku na dalsze prowadzenie profilu, powinny prowadzić go tylko osoby świadome ryzyka związanego z transferem danych do Chin i zgadzające się na takie przekazanie. A na samym profilu co do zasady nie powinny być publikowane dane osobowe, chyba że taka osoba wyrazi jasną i świadomą zgodę na taką publikację, mimo związanego z tym ryzyka.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia?Napisz do mnie
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
