Fler tillsynsmyndigheter i EU, däribland Autoriteit Persoonsgegevens (AP), danska Datatilsynet och norska Datatilsynet, varnar användare för att TikTok tills vidare fortsätter att överföra personuppgifter om användare inom EU till länder utanför unionen, bland annat Kina. Detta sker trots att de europeiska dataskyddsmyndigheterna gemensamt har bedömt att överföringen strider mot EU:s dataskyddsregler. TikTok har överklagat beslutet, och överföringen av personuppgifter fortsätter därför under tiden som ärendet prövas i domstol.
Myndigheterna betonar att personuppgifter endast får föras över till länder utanför EU och EES om det finns ett tillräckligt skydd för de registrerades rättigheter. Enligt tillsynsmyndigheternas bedömning har TikTok inte kunnat visa att ett sådant skydd finns vid överföring av personuppgifter till Kina. Detta gäller särskilt möjligheten för användare att utöva sina rättigheter och få ett effektivt rättsligt skydd.
Den irländska dataskyddsmyndigheten (Data Protection Commission, DPC) har, tillsammans med Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB), tidigare beslutat att TikToks överföring av personuppgifter till tredjeland bryter mot dataskyddsförordningen (GDPR). En irländsk domstol har tillfälligt stoppat verkställigheten av de åtgärder som beslutats, i väntan på slutlig prövning. Själva bedömningen att överföringen strider mot GDPR påverkas dock inte av detta.
Mot denna bakgrund har TikTok börjat informera användare om att deras personuppgifter fortsatt överförs till länder utanför EU. Myndigheterna framhåller att tydlig och korrekt information är särskilt viktig i situationer där personuppgifter förs över till länder som inte erbjuder samma skydd som inom EU. TikTok behandlar stora mängder personuppgifter, såsom uppgifter om användarbeteende, plats, kontakter och i vissa fall även betalningsuppgifter. Särskilt unga användare är ofta inte fullt medvetna om hur omfattande denna databehandling är och vilka risker den kan innebära.
Myndigheterna uppmanar användare att läsa TikToks information och integritetspolicy noggrant, se över appens inställningar och ta ställning till om de vill fortsätta använda tjänsten under dessa förutsättningar. Användare bör också vara försiktiga med vilken information de delar och undvika att lämna känsliga personuppgifter via appen.
Myndigheterna uppmanar även organisationer som använder TikTok att noggrant bedöma riskerna med behandlingen av personuppgifter, till exempel genom att genomföra en konsekvensbedömning avseende dataskydd. Organisationer bör beakta att tillsynsmyndigheterna har bedömt TikToks överföring av personuppgifter som olaglig. Offentliga aktörer har enligt myndigheterna ett särskilt ansvar att föregå med gott exempel. Organisationer som väljer att fortsätta använda TikTok bör vara öppna mot sina målgrupper och tydligt informera om de risker som användningen kan innebära.