TikTok fortsetter å overføre personopplysninger til Kina

Tidligere i år kom det irske datatilsynet (DPC) med en avgjørelse mot TikTok (dataprotection.ie) som påla selskapet å stanse overføring av personopplysninger til Kina. Bakgrunnen er at personopplysninger om brukere i visse tilfeller er tilgjengelige for TikToks ansatte i Kina. En irsk domstol har imidlertid satt pålegget på vent. Det er grunnen til at norske og europeiske brukere nå har mottatt et varsel i appen. Varselet inneholdt informasjon om vedtaket fra det irske datatilsynet, at pålegget er blitt midlertidig stanset, og at overføringen av personopplysninger til Kina fortsetter inntil videre.

Flere tilsynsmyndigheter i Europa oppfordrer nå både privatpersoner og virksomheter til å tenke gjennom om de ønsker å fortsette å bruke TikTok og andre tjenester som kan sende personopplysninger til land utenfor EU.

- Praksisen kan ha negative konsekvenser for personvernet siden kinesisk lovgivning potensielt kan kreve at dataene deles med kinesiske myndigheter. Samtidig er det vanskelig å forutse om disse dataene faktisk vil utleveres til kinesiske myndigheter i fremtiden, sier seksjonssjef Tobias Judin i Datatilsynet.

TikTok understreker at de hittil aldri har delt data om brukere i EØS med kinesiske myndigheter, og at de heller ikke har fått forespørsler om å gjøre dette. Videre har TikTok uttalt at de jobber med å minimere overføring av personopplysninger til Kina ytterligere.

Sakens bakgrunn

I april fattet den irske datatilsynsmyndigheten, i fellesskap med de andre tilsynsmyndighetene i Europa, et vedtak om brudd på personvernforordningen mot TikTok Technology Limited. Selskapet fikk et stort overtredelsesgebyr på 530 millioner euro og et pålegg om å stanse overføring av personopplysninger til Kina. TikTok mente imidlertid at de ikke har gjort noe ulovlig, og anket både gebyret og pålegget til irske domstoler.

I påvente av at rettssaken skal begynne, ba TikTok domstolene om en såkalt midlertidig forføyning. Det innebærer at selskapet kan fortsette å overføre personopplysninger til Kina inntil rettssaken er avgjort. TikTok har nå fått medhold i denne forespørselen. Domstolen satte imidlertid som et vilkår at selskapet måtte informere brukerne om det irske datatilsynet sin avgjørelse om overføring av personopplysninger til Kina. Dette er grunnen til at brukere har fått opp disse varslene.

I varselet fra TikTok står det blant annet at selskapet kan fortsette å overføre personopplysninger om europeiske brukere til Kina. Videre opplyser de om at det irske datatilsynet, i samarbeid med Det europeiske personvernrådet, tidligere har konkludert med at denne overføringen bryter med reglene i personvernforordningen.

- Det er positivt at den irske domstolen krever at selskapet informerer brukerne sine om vedtaket. Selv om TikTok fastholder at overføringene til Kina er veldig begrensede, sitter TikTok på veldig mye informasjon om brukerne sine, som de blant annet bruker til å personalisere innhold, sier Judin.

Råd til brukere og virksomheter som har konto på TikTok

Vi anbefaler alle brukere av TikTok til å:

• Lese varselet fra TikTok og personvernerklæringen nøye.
• Sjekke personverninnstillingene dine: hvilke tilganger har TikTok til kamera, mikrofon, kontakter og posisjon?
• Vurdere om du vil fortsette å bruke TikTok så lenge dataflyten til Kina fortsetter. Hvis ikke, kan du slette appen (permanent eller midlertidig) eller deaktivere kontoen din.
• Være forsiktig med hva du deler i appen. Ikke del sensitive opplysninger om deg selv eller andre.

Vi anbefaler virksomheter til å:

• Vurdere om det er forsvarlig å fortsette å bruke TikTok. Offentlige virksomheter har et særlig ansvar og deres praksis kan ha en viktig signaleffekt. Myndigheter som bruker plattformen kan gi inntrykk av at dette er helt uproblematisk. Vi stiller oss bak anbefalingen fra NSM til ansatte i offentlige virksomheter i 2023 om å ikke installere TikTok på tjenesteenhetene sine.
• Gjøre risikovurderinger og vurderinger av personvernkonsekvenser (DPIA). Vi minner om at alle tilsynsmyndighetene i Europa står bak avgjørelsen om at TikToks overføring av personopplysninger til Kina er ulovlig.
• Være åpne overfor målgruppene deres om hvilke risikoer virksomhetens tilstedeværelse på TikTok kan innebære for dem. For eksempel, når brukerne interagerer med innhold dere legger ut, brukes dette til å profilere brukerne. Dessuten kan brukerne legge igjen kommentarer eller sende dere meldinger som sier noe om dem selv. Denne informasjonen kan altså personell i Kina få tilgang til.