מהלומה כלכלית: טיקטוק נקנסה בחצי מיליארד יורו על העברת מידע לסין

נציבות הגנת המידע של אירלנד (DPC) הטילה את אחד הקנסות הגדולים בתולדות הרגולציה הדיגיטלית באירופה: 530 מיליון אירו על חברת טיקטוק שבבעלות ByteDance הסינית, בעקבות העברת מידע אישי של משתמשים אירופיים לשרתים בסין - ללא הגנה נאותה. ההחלטה התקבלה בתום חקירה שנמשכה ארבע שנים, והמהווה ציון דרך במאבק האירופי על פרטיות הנתונים.

לפי הודעת ה-DPC, הקנס כולל 485 מיליון אירו בגין העברת המידע הבלתי חוקית, ו־45 מיליון אירו נוספים בגין חוסר שקיפות במדיניות הפרטיות של טיקטוק. במהלך החקירה התגלו סתירות חמורות בין דברי החברה לבין המציאות: טיקטוק טענה כי אינה מאחסנת מידע של משתמשים אירופים בסין, אך בהמשך נאלצה להודות כי חלק מהנתונים אכן עברו לשרתים מחוץ לאיחוד - בניגוד לתקנות ה-GDPR.

אחת הנקודות המרכזיות שהובילו לקנס החריג הייתה העובדה שטיקטוק לא הצליחה להוכיח שהיא מספקת רמת הגנה שוות ערך לזו הנהוגה באירופה, כפי שמחייב רגולציית הפרטיות האירופית (GDPR). מדובר בתקנה מחמירה, המחייבת חברות טכנולוגיה להבטיח הגנה משפטית, טכנולוגית וארגונית לפני העברת מידע אישי למדינה שלישית.

טיקטוק הודיעה כי בכוונתה לערער על ההחלטה, והדגישה כי חלק גדול מהממצאים מתייחסים למדיניות שכבר אינה בתוקף. לדבריה, מאז החלה החקירה, החברה השיקה את "Project Clover" - יוזמה שנועדה לבסס שלושה מרכזי נתונים חדשים ברחבי אירופה, ולהעביר אליהם את כלל המידע של משתמשי האיחוד. המרכזים ממוקמים באירלנד ובנורווגיה, וצפויים להיכנס לפעולה מלאה עד סוף 2025.

הקנס הנוכחי מגיע לאחר קנס קודם בסך 345 מיליון אירו, שהוטל על טיקטוק בספטמבר 2023 בעקבות טיפול לקוי במידע של קטינים. שני המקרים יחד משקפים את הגברת הפיקוח של האיחוד האירופי על ענקיות הטכנולוגיה, במיוחד כאשר מדובר בקשריהן עם מדינות שאינן שותפות להסכמי פרטיות מחמירים - כמו סין.

המקרה של טיקטוק הוא אינדיקציה לחשש הגובר באירופה מפני דליפות מידע והעברות נתונים לסין, ונתפס כחלק מהמאבק הגדול יותר בין המערב למזרח על ריבונות דיגיטלית. בעידן שבו המידע הוא הנכס היקר ביותר - כל פיסת פרטיות היא שדה קרב.