İrlanda Veri Koruma Komisyonu (DPC), TikTok’un Avrupa Ekonomik Alanı (AEA) kullanıcılarına ait kişisel verileri Çin’e aktarmasıyla ilgili yürüttüğü soruşturmayı tamamlamış ve 530 milyon euro idari para cezası uygulamıştır.

Komisyon, TikTok’un kullanıcı verilerini Çin’e aktarırken Genel Veri Koruma Tüzüğü’nün (GDPR) 46. maddesini ihlal ettiğini ve şeffaflık yükümlülüklerini yerine getirmediğini tespit etmiştir. TikTok’un, Çin yasalarının Avrupa’daki veri koruma seviyesine denk düzeyde koruma sağlayıp sağlamadığını yeterince değerlendirmediği ve gerekli güvenceleri sağlayamadığı ifade edilmiştir.
Ayrıca, TikTok’un 2021 tarihli gizlilik politikasındaki ifadelerin kullanıcıları yeterince bilgilendirici mahiyette olmadığı; hangi ülkelere veri aktarıldığına ve bu verilerin nasıl işlendiğine dair açıklamaların yetersiz olduğu tespit edilmiştir. Söz konusu ihlalin, 29 Temmuz 2020 ile 1 Aralık 2022 tarihleri arasında sürdüğü belirtilmiştir.
DPC, TikTok’un bu süreçte yanıltıcı bilgi verdiğini de açıklamış olup AEA kullanıcı verilerinin Çin’deki sunucularda saklanmadığı bildirilmesine rağmen Şubat 2025’te bazı verilerin Çin’de tutulduğunun ortaya çıktığı ifade edilmiştir.

Bununla birlikte, TikTok’un ‘Project Clover’ adlı uyum çalışmaları kapsamında bazı iyileştirmeler yaptığı belirtilmişse de veri transferlerinin altı ay içinde GDPR ile uyumlu hale getirilmemesi durumunda Çin’e yapılan veri aktarımının askıya alınmasına karar verilmiştir. Bu kapsamda, TikTok’a 485 milyon eurosu veri transferi ihlalinden ve 45 milyon eurosu şeffaflık yükümlülüğünün yerine getirilmemesinden kaynaklı olmak üzere toplamda 530 milyon euro para cezası kesilmiştir.