TikTok оштрафован на €530 млн за незаконные передачи данных в Китай

Ирландская комиссия по защите данных (DPC) наложила исторический штраф в размере €530 миллионов (примерно $600 миллионов) на TikTok Technology Limited (TTL) после обширного расследования в отношении обработки персональных данных пользователей платформы TikTok в ЕЭП в Народную Республику Китай («Китай»).

Наложенный штраф, один из крупнейших когда-либо наложенных в соответствии с Общим регламентом по защите данных (GDPR), стал результатом четырехлетнего расследования Ирландской комиссии по защите данных (DPC), ведущего надзорного органа ЕС для TikTok из-за его европейской штаб-квартиры в Дублине.

Содержание

• Срок для соблюдения
• Компания подаст апелляцию

Срок для соблюдения

Решение также накладывает шестимесячный срок для популярного приложения для обмена короткими видео, чтобы привести свою обработку в полное соответствие с законодательством ЕС. Если компания не выполнит этот срок, она может столкнуться с приостановкой всех передач данных пользователей ЕЭП в Китай.

«TikTok нарушил GDPR в отношении своих передач данных пользователей ЕЭП в Китай и требований к прозрачности. Решение включает административные штрафы на общую сумму €530 миллионов и приказ, требующий от TikTok привести свою обработку в соответствие в течение 6 месяцев», — говорится в заявлении DPC в пятницу.

Согласно расследованию DPC, TikTok, принадлежащий китайскому технологическому гиганту ByteDance, не смог адекватно защитить персональные данные пользователей ЕС, к которым имели доступ сотрудники в Китае, как этого требует законодательство ЕС.

В частности, TikTok нарушил ключевые положения регламента, а именно статью 46(1) GDPR, не обеспечив адекватную проверку того, что китайские законы и практики предоставляют «в основном эквивалентную» защиту в рамках ЕС. Он также нарушил статью 13(1)(f), не предоставив пользователям достаточной информации о передачах данных и характере вовлеченной обработки.

«Передачи персональных данных TikTok в Китай нарушили GDPR, поскольку TikTok не смог проверить, гарантировать и продемонстрировать, что персональные данные пользователей ЕЭП, удаленно доступные сотрудниками в Китае, имели уровень защиты, в основном эквивалентный тому, который гарантируется в ЕС», — сказал Грэм Дойл, заместитель комиссара, подчеркивая серьезность выводов.

TikTok указал на китайские законы, включая Закон о борьбе с терроризмом, Закон о контрразведке, Закон о кибербезопасности и Закон о национальной разведке, как на существенно отличающиеся от стандартов защиты данных ЕС. Тем не менее, DPC заявила, что компания не внедрила эффективные дополнительные меры или не провела полный юридический анализ, как этого требует GDPR. Такое законодательство может позволить государству получать доступ к персональным данным, тем самым подрывая защиту конфиденциальности в ЕС.

DPC добавила, что TikTok на протяжении всего расследования утверждала, что не хранит данные пользователей ЕЭП на серверах, расположенных в Китае. Однако в апреле 2025 года TikTok раскрыла, что в феврале 2025 года она обнаружила, что некоторые данные ЕЭП действительно хранились на китайских серверах, что противоречит предыдущим заявлениям компании.

«DPC очень серьезно относится к этим недавним событиям, касающимся хранения данных пользователей ЕЭП на серверах в Китае. Хотя TikTok сообщила DPC, что данные теперь были удалены, мы рассматриваем, какие дополнительные регуляторные меры могут быть оправданы, в консультации с нашими коллегами из органов защиты данных ЕС», — добавил Дойл.

Кристина Гран, глава отдела общественной политики и правительственных отношений TikTok в Европе, ответила, заявив, что компания не согласна с решением DPC и никогда не передавала данные европейских пользователей китайским властям, используя стандартные юридические механизмы для передачи данных.

Компания подаст апелляцию

Компания также планирует обжаловать решение, утверждая, что оно не учитывает значительные улучшения безопасности данных, введенные в рамках нового «Проекта Клевер», инициативы по управлению данными, направленной на улучшение соблюдения.

Это не первый случай, когда TikTok подвергается критике за конфиденциальность данных. В 2023 году DPC оштрафовала TikTok на €345 миллионов за недостаточную защиту конфиденциальности детей, включая установку учетных записей пользователей в возрасте от 13 до 17 лет в публичный режим по умолчанию и недостаточную прозрачность информации о настройках конфиденциальности для детских пользователей в соответствии с правилами GDPR ЕС.