Autor: Christine Grahn, dyrektor ds. polityki publicznej i relacji z władzami w Europie

Irlandzka komisja ds. ochrony danych (DPC) opublikowała dziś ostateczną decyzję w sprawie dochodzenia dotyczącego zgodności serwisu TikTok z wymogami RODO w zakresie transferu danych osobowych do Chin.

Decyzja dotyczy wybranego okresu sprzed kilku lat, przed wdrożeniem w 2023 r. projektu Clover, naszej inicjatywy na rzecz bezpieczeństwa danych o wartości 12 mld euro. Sama DPC odnotowała w swoim raporcie to, co TikTok konsekwentnie powtarzał: nigdy nie otrzymał od chińskich władz wniosku o przekazanie danych europejskich użytkowników i nigdy nie przekazał im takich danych.

Faktem jest, że projekt Clover zapewnia jedne z najsurowszych zabezpieczeń danych w całej branży, w tym bezprecedensowy niezależny nadzór ze strony NCC Group, wiodącej europejskiej firmy zajmującej się cyberbezpieczeństwem. W decyzji nie uwzględniono w pełni tych znaczących środków bezpieczeństwa danych.

Z 175 milionami użytkowników w całej Europie, ponad 6000 pracowników w regionie i platformą, która pomogła małym firmom wnieść 4,8 miliarda euro do PKB i stworzyć ponad 51 000 miejsc pracy, TikTok jest głęboko zintegrowany z europejską gospodarką. Decyzja ta ma konsekwencje nie tylko dla TikToka, ale dla każdej firmy w Europie prowadzącej globalną działalność. Nie zgadzamy się z tą decyzją i zamierzamy odwołać się od niej w całości.

TikTok przestrzegał zasad ustanowionych przez samą Unię Europejską

Nie jest to pierwsze orzeczenie DPC w sprawie transferu danych poza Europę. W 2023 r. organ ten nałożył na Meta rekordową grzywnę w wysokości 1,2 mld euro, nakazując jej zawieszenie transferu danych do Stanów Zjednoczonych, stwierdzając, że Stany Zjednoczone nie zapewniają „odpowiedniej” ochrony europejskich danych osobowych.

Tylko 15 krajów ma umowy o odpowiednim poziomie ochrony danych z UE – porozumienia, które pozwalają na swobodny i zaufany przepływ danych między krajami. W rezultacie wiele firm korzysta z tak zwanych standardowych klauzul umownych, czyli wcześniej zatwierdzonych ram prawnych dotyczących międzynarodowej wymiany danych, żeby ułatwić zdalny dostęp do danych – czyli transfer danych – pracownikom w krajach, które nie mają takiego statusu.

DPC twierdzi, że nie przeprowadziliśmy niezbędnych ocen. Zdecydowanie się z tym nie zgadzamy – przeprowadziliśmy szczegółowe analizy przy wsparciu zewnętrznych kancelarii prawnych oraz ekspertów.

Oprócz tego, że DPC nie uwzględniło w sposób merytoryczny szeroko zakrojonych zabezpieczeń wdrożonych w ramach projektu Clover, jesteśmy rozczarowani, że zostaliśmy specyficznie wskazani, mimo że korzystamy z tego samego mechanizmu prawnego, który stosują tysiące innych firm świadczących usługi w Europie. Podobnie jak wiele organizacji działających na całym świecie, TikTok korzysta z ram prawnych UE, a konkretnie standardowych klauzul umownych, aby zapewnić ściśle kontrolowany i ograniczony dostęp pracownikom w krajach, które nie zawarły umów o odpowiednim poziomie ochrony danych.

Podejście to jest w pełni zgodne z zasadami ustanowionymi przez Unię Europejską, a my konsekwentnie zachowujemy przejrzystość naszych praktyk. W przeciwieństwie do niektórych innych firm, jasno wyjaśniamy te mechanizmy w naszej polityce prywatności i komunikacji z naszą europejską społecznością, która obecnie liczy ponad 175 milionów osób.

Projekt Clover już teraz zapewnia bezprecedensową ochronę danych europejskich użytkowników

W 2023 roku TikTok rozpoczął wdrażanie projektu Clover w Europie, inwestycji o wartości 12 mld euro, która zapewnia niezrównane zabezpieczenia danych europejskich użytkowników. Własnie ogłosiliśmy kolejny krok milowy w zapewnianiu ochrony danych w Europie: inwestycję 1 miliarda dolarów w projekt naszego pierwszego centrum danych w Finlandii. Wiele globalnych firm działających w Europie ma pracowników w Chinach — w tym nasi konkurenci. Jednak żadna z nich nie podjęła takich kroków jak TikTok. Dzięki projektowi Clover poszliśmy dalej niż ktokolwiek inny, eliminując hipotetyczne ryzyko za pomocą rzeczywistych, konkretnych zabezpieczeń:

  • Nasze europejskie środki bezpieczeństwa danych w ramach projektu Clover, w tym protokoły zdalnego dostępu i transferu danych, są obecnie niezależnie monitorowane, sprawdzane i weryfikowane przez całą dobę przez renomowaną europejską firmę zajmującą się cyberbezpieczeństwem, NCC Group – poziom niezależnego nadzoru i przejrzystości nie ma sobie równych wśród platform internetowych.
  • Dane naszych europejskich użytkowników są obecnie domyślnie przechowywane w dedykowanej europejskiej enklawie danych, obecnie hostowanej w centrach danych w Europie i Stanach Zjednoczonych.
  • Wprowadziliśmy dodatkowe bariery bezpieczeństwa cyfrowego, znane jako bramy bezpieczeństwa. Bramy te, monitorowane niezależnie przez NCC Group, są częścią kompleksowego systemu protokołów technicznych, które zapewniają, że tylko zatwierdzeni pracownicy mają dostęp do określonych rodzajów danych, dodatkowo ograniczając dostęp wewnętrzny – w tym dostęp do danych zastrzeżonych, takich jak numery telefonów, adresy e-mail i adresy IP, przechowywanych w enklawie poza zakcepsem pracowników w Chinach.
  • W ramach projektu Clover, firma TikTok wdrożyła zaawansowane technologie zwiększające prywatność (PET), takie jak szyfrowanie przy dostępie i prywatność różnicowa, aby zapewnić, że dane niezastrzeżone są anonimizowane, zanim będą dostępne dla pracowników w Chinach. Co najważniejsze, niezależni eksperci ds. cyberbezpieczeństwa z NCC Group potwierdzili, że zabezpieczenia te działają zgodnie z zamierzeniami.

Jeśli szeroko zakrojone środki wdrożone w ramach projektu Clover, które są najsolidniejszymi i najsurowszymi zabezpieczeniami danych w naszej branży i poza nią, a także niezależny monitoring przeprowadzany przez niezależną firmę NCC Group zostaną uznane za niewystarczające, uzasadnione będzie pytanie: co można uznać za wystarczające? Szkoda, że DPC nie poświęcił tym kompleksowym zabezpieczeniom uwagi, na jaką zasługują.

Daleko idące konsekwencje

Orzeczenie to może stworzyć precedens o daleko idących konsekwencjach dla firm i całych branż w całej Europie, które działają na skalę globalną. Stanowi ono cios dla konkurencyjności Unii Europejskiej. W ramach projektu Clover, dobrowolnej inicjatywy wartej wiele miliardów euro, TikTok wdrożył kompleksowe rozwiązanie, które zapewnia niezrównaną ochronę danych i prywatności europejskich użytkowników, jednocześnie zabezpieczając globalny przepływ danych i wspierając ciągłe innowacje.

W czasach, gdy europejskie przedsiębiorstwa i gospodarki potrzebują innowacji, wzrostu i miejsc pracy, uważamy, że UE powinna z zadowoleniem przyjąć i wspierać rozwiązania takie jak projekt Clover, jako sposób na ułatwienie bezpiecznego przepływu danych między UE a krajami nieposiadającymi odpowiednich zabezpieczeń, przy jednoczesnym zagwarantowaniu najsilniejszej ochrony bezpieczeństwa i prywatności danych europejskich.