Popularna društvena mreža sukobila se s irskom Komisijom za zaštitu podataka (Data Protection Commission – DPC), najutjecajnijim europskim regulatorom za privatnost, a on nadzire tehnološke divove poput Mete, X-a i Googlea. U središtu spora nalazi se pitanje smije li TikTok prenositi osobne podatke europskih korisnika u Kinu.

Tvrtka, koja je u vlasništvu kineskog tehnološkog giganta ByteDancea, osporava kaznu od 530 milijuna eura koju joj je irski regulator izrekao prošle godine. Istraga je tada utvrdila da su zaposlenici u Kini mogli pristupati podacima europskih korisnika, a TikTok nije uspio 'provjeriti, jamčiti i dokazati' da su oni adekvatno zaštićeni, piše Politico.

Irski regulator sada traži da TikTok prekine prijenos podataka u Kinu, osim ako uspije dokazati da su informacije korisnika zaštićene od kineskih zakona o nadzoru i obavještajnim aktivnostima. Ovaj slučaj smatra se važnim testom za europska pravila o zaštiti podataka, poznata kao Opća uredba o zaštiti podataka (GDPR), osobito u kontekstu prijenosa osobnih podataka u Kinu.

Spor dolazi u trenutku u kojem se Europska unija suočava s rastućim geopolitičkim pritiscima i ponovno preispituje trgovinske odnose s Pekingom, unatoč dugotrajnim sigurnosnim zabrinutostima zbog mogućeg nadzora kineskih vlasti nad digitalnim podacima Europljana.

Skupa usklađenost s regulatorom

Na početku desetodnevnog sudskog ročišta u Dublinu odvjetnici obiju strana sukobili su se oko tumačenja kineskih zakona i zakonitosti TikTokovih praksi upravljanja podacima.

'Posljedice odluke irskog regulatora su goleme, čak i za tako veliku organizaciju kao što je TikTok', rekao je sudu viši pravni savjetnik kompanije Paul Gallagher, procijenivši da bi provedba regulatornog naloga mogla koštati tvrtku do pet milijardi eura.

Ako sud presudi u korist regulatora, mogla bi biti prisiljena u potpunosti prekinuti podatkovne veze s Kinom da bi nastavila pružati usluge europskim korisnicima.

Sve se to odvija samo nekoliko mjeseci nakon što je TikTok restrukturirao svoje poslovanje u Sjedinjenim Državama. Američka operacija izdvojena je u novu aplikaciju pod kontrolom konzorcija investitora, a predvode ih Oracle te investicijske tvrtke Silver Lake i MGX, čime je kompanija pokušala ublažiti dugotrajne američke zabrinutosti zbog sigurnosti.

TikTok je ranije upozorio da bi provedba zahtjeva irskog regulatora podrazumijevala preseljenje tisuća zaposlenika izvan Kine te milijarde eura troškova za reorganizaciju tehnološke infrastrukture.

Pristup podacima pod povećalom

Irski regulator izrekao je kaznu TikToku u svibnju prošle godine nakon što je zaključio da platforma ne može jamčiti da su podaci 159 milijuna mjesečnih korisnika u Europi sigurni od kineskih zakona o nadzoru, a nazvao ih je 'problematičnima'.

'Ovdje je riječ o tome što TikTok smatra relevantnim zakonima, a što DPC smatra problematičnim zakonima', rekao je Gallagher na sudu, dodavši: 'Smatramo da nisu problematični jer vjerujemo da se ne primjenjuju. DPC smatra da jesu problematični jer vjeruje da se primjenjuju.'

Kazna je bila jedna od najvećih koje je irski regulator izrekao od početka primjene GDPR-a 2018. godine, a istraga je uslijedila nakon višegodišnjeg nadzora sigurnosnih i regulatornih tijela u zapadnim državama jer sve češće promatraju TikTok kao potencijalni sigurnosni rizik.

Aplikacija je, ponovimo, u vlasništvu ByteDancea sa sjedištem u Pekingu, a zaposlenici u Kini imaju daljinski pristup dijelu podataka europskih korisnika pohranjenih izvan zemlje.

Prema informacijama koje je tvrtka dostavila regulatoru tijekom istrage, oni mogu pristupiti korisničkim imenima, informacijama o vlasnicima računa, podacima o interakcijama i aktivnosti na platformi itd.

Tvrtka tvrdi da ne namjerava prikupljati osjetljive podatke, no oni ponekad mogu biti slučajno prikupljeni ili ih prenesu sami korisnici. Zaposlenicima je, tvrdi kompanija, potrebno da im imaju ograničen pristup za potrebe istraživanja, sigurnosti, analitike i drugih operativnih usluga.

Također ističu da se kineski zakoni ne primjenjuju na podatke koje tvrtka pohranjuje izvan Kine te tvrde da nikada nisu dobili zahtjev kineskih vlasti za njihovu predaju.

Projekt Clover i politički pritisak

Kako bi umirio zabrinutost europskih političara, TikTok je još 2023. godine pokrenuo veliku sigurnosnu inicijativu nazvanu Project Clover. Riječ je o planu vrijednom 12 milijardi eura kojim se predviđa pohrana europskih korisničkih podataka u Europi, uz nadzor europske sigurnosne kompanije.

Osmišljen je po uzoru na američki program Project Texas, predstavljen 2020. godine, koji je trebao osigurati slične zaštitne mehanizme za američke korisnike. Unatoč tim potezima, politička zabrinutost nije nestala. Europska unija je tako 2023. godine zabranila TikTok na službenim uređajima svojih institucija, a istu mjeru kasnije su uvele i brojne europske vlade.

Slijepa točka Europe

Slučaj TikToka istodobno otvara pitanje koje se do sada u europskoj regulativi relativno malo razmatralo: prijenos podataka u Kinu.

Europska unija već više od desetljeća vodi sporove sa Sjedinjenim Državama oko zaštite osobnih podataka europskih građana nakon što su 2013. godine otkriveni američki programi masovnog nadzora koje je razotkrio zviždač Edward Snowden. Europski sud pravde u više je navrata poništio sporazume između EU-a i SAD-a o prijenosu podataka upravo zbog zabrinutosti oko nadzora.

No kada je riječ o Kini, takvih pravnih testova gotovo da nije bilo. Prema Joeu Jonesu, direktoru istraživanja u Međunarodnom udruženju stručnjaka za privatnost (International Association of Privacy Professionals), kazna TikToku pokazuje da se pritisak na prijenos podataka u Kinu počinje pojačavati.

'Više od desetljeća svjedočimo sporovima između EU-a i SAD-a ili EU-a i Ujedinjenog Kraljevstva oko prijenosa podataka', rekao je Jones, dodajući: 'Ovo je prvi put da vidimo ozbiljan pravni slučaj koji se odnosi na neku drugu državu izvan tog transatlantskog trokuta – i to je Kina.'