Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 530 miljoner euro mot TikTok Technology Limited för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att utredningen inleddes av DPC, i dess roll som ledande tillsynsmyndighet för TikTok, för att undersöka lagligheten i TikToks överföring av EU-medborgares personuppgifter till Kina. Dessutom undersökte DPC om tillhandahållandet av information till användarna i samband med sådana överföringar uppfyllde kraven på öppenhet enligt GDPR.
Under utredningen informerade TikTok inledningsvis DPC om att bolaget inte lagrade EU-medborgares användardata på servrar i Kina. I april 2025 informerade TikTok emellertid DPC om att företaget i februari 2025 upptäckt att EU-medborgares användardata hade lagrats på servrar i Kina, i strid med vad TikTok tidigare hävdat.
DPC:s granskning visade att TikToks överföringar till Kina stred mot artikel 46.1 GDPR eftersom TikTok inte kontrollerade, garanterade och visade att de kompletterande åtgärderna och standardavtalsklausulerna var effektiva för att säkerställa att EU-medborgares personuppgifter som överfördes via fjärråtkomst gavs en skyddsnivå som i allt väsentligt motsvarade den som garanterades inom EU.
Enligt TikTok omfattas överföringar via fjärråtkomst inte av de aktuella lagarna och förfarandena, men i TikToks egen bedömning av kinesisk rätt som tillhandahållits DPC under utredningen, anges hur aspekter av den kinesiska rättsliga ramen utesluter en bedömning av väsentlig likvärdighet med EU-rätten. DPC beaktade denna bedömning och de kinesiska lagar som TikTok identifierat och som i väsentliga avseenden avviker från EU-standarder, såsom antiterroristlagen, lagen om kontraspionage, cybersäkerhetslagen och den nationella underrättelselagen. DPC fann särskilt att TikToks underlåtenhet att på ett adekvat sätt bedöma den skyddsnivå som kinesisk lagstiftning och praxis ger för personuppgifter om EU-medborgare som är föremål för överföringar, vilkas personuppgifter behandlas i Kina, inte bara direkt påverkade TikToks förmåga att välja lämpliga skyddsåtgärder och kompletterande åtgärder, utan också hindrade TikTok från att kontrollera och garantera en i allt väsentligt likvärdig skyddsnivå.
DPC granskade även TikToks integritetspolicy för EU/EES från oktober 2021 och fann att denna policy var otillräcklig i två viktiga avseenden vid tillämpningen av artikel 13.1 (f) GDPR. För det första angav TikToks integritetspolicy inte de tredjeländer, däribland Kina, till vilka personuppgifter överfördes. För det andra förklarades inte i integritetspolicyn vilken typ av behandling som överföringen utgjorde. I synnerhet angavs inte att behandlingen innefattade fjärråtkomst till personuppgifter lagrade i Singapore och USA av personal baserad i Kina.
TikTok uppdaterade sin integritetspolicy under utredningens gång och tillhandahöll sin integritetspolicy från december 2022 till DPC. I den integritetspolicyn identifierades de tredjeländer till vilka uppgifter om EU-medborgare överfördes. TikTok informerade även EU-medborgare att personuppgifter lagrades på servrar i USA och Singapore och var föremål för fjärråtkomst av enheter i TikToks företagsgrupp i Brasilien, Kina, Malaysia, Filippinerna, Singapore och USA.
DPC bedömde TikToks integritetspolicy från december 2022 som förenlig med kraven i artikel 13.1 (f) GDPR när det gäller de överföringar av uppgifter som omfattas av beslutets materiella tillämpningsområde. Varaktigheten av överträdelsen av artikel 13.1 (f) GDPR i beslutet avser därför perioden från och med den 29 juli 2020 till och med den 1 december 2022.
Mot denna bakgrund fick TikTok totalt en sanktionsavgift på 530 miljoner euro, varav en sanktionsavgift på 45 miljoner euro för överträdelse av artikel 13.1 (f) GDPR och en sanktionsavgift på 485 miljoner euro för överträdelse av artikel 46.1 GDPR. DPC beslutade även att TikTok, inom sex månader, ska se till att dess behandling av personuppgifter är förenlig med GDPR. Beslutet innehåller även ett föreläggande om att avbryta TikToks överföringar till Kina om behandlingen inte uppfyller kraven i GDPR inom denna tidsram.