TikTok fortsetter å overføre personopplysninger til Kina

Dette betyr at personopplysninger om norske og europeiske brukere vil være tilgjengelig for TikToks ansatte i Kina. Dette til tross for en avgjørelse fra det irske datatilsynet (DPC) tidligere i år (dataprotection.ie), som påla selskapet å stanse overføring av personopplysninger til Kina med umiddelbar virkning. Denne uken har brukere likevel mottatt en oppdatering om dataflyt til Kina. Varselet kommer etter av at en irsk domstol har stanset pålegget fra det irske datatilsynet midlertidig.

Flere tilsynsmyndigheter i Europa oppfordrer nå både privatpersoner og virksomheter til å tenke gjennom om de ønsker å fortsette å bruke TikTok og andre tjenester som sender personopplysninger til land utenfor EU.

- Praksisen kan ha negative konsekvenser for personvernet siden kinesisk lovgivning potensielt kan kreve at dataene deles med kinesiske myndigheter. Samtidig er det vanskelig å forutse om disse dataene faktisk vil utleveres til kinesiske myndigheter i fremtiden, sier seksjonssjef Tobias Judin i Datatilsynet.

Sakens bakgrunn

I april fattet den irske datatilsynsmyndigheten, i fellesskap med de andre tilsynsmyndighetene i Europa, et vedtak om brudd på personvernforordningen mot TikTok Technology Limited. Selskapet fikk et stort overtredelsesgebyr på 530 millioner euro og et pålegg om å stanse overføring av personopplysninger til Kina med umiddelbar virkning. TikTok mente imidlertid at de ikke har gjort noe ulovlig, og anket både gebyret og pålegget til irske domstoler.

I påvente av at rettssaken skal begynne, ba TikTok domstolene om en såkalt midlertidig forføyning. Det innebærer at selskapet kan fortsette å overføre personopplysninger til Kina inntil rettssaken er avgjort. TikTok har nå fått medhold i denne forespørselen. Domstolen satte imidlertid som et vilkår at selskapet må informere brukerne. Dette er grunnen til at brukere nå får opp disse varslene.

I varselet fra TikTok står det blant annet at selskapet vil fortsette å overføre personopplysninger om europeiske brukere til land utenfor EU, deriblant Kina. Videre opplyser de om at det irske datatilsynet, i samarbeid med Det europeiske personvernrådet, tidligere har konkludert med at denne overføringen bryter med reglene i personvernforordningen.

- Det er positivt at den irske domstolen krever at selskapet informerer brukerne sine bedre. TikTok sitter på veldig mye informasjon om brukerne sine, som de blant annet bruker til å personalisere innhold. Dessuten har mange brukere gitt appen tilgang til for eksempel bilder, videoer og kontakter, sier Judin.

Råd til brukere og virksomheter som har konto på TikTok

Vi anbefaler alle brukere av TikTok til å:

• Lese varselet fra TikTok og personvernerklæringen nøye.
• Sjekke personverninnstillingene dine: hvilke tilganger har TikTok til kamera, mikrofon, kontakter og posisjon?
• Vurdere om du vil fortsette å bruke TikTok så lenge dataflyten til Kina fortsetter. Hvis ikke, kan du slette appen (permanent eller midlertidig) eller deaktivere kontoen din.
• Være forsiktig med hva du deler i appen. Ikke del sensitive opplysninger om deg selv eller andre.

Vi anbefaler virksomheter til å:

• Vurdere om det er forsvarlig å fortsette å bruke TikTok. Offentlige virksomheter har et særlig ansvar og deres praksis kan ha en viktig signaleffekt. Myndigheter som bruker plattformen kan gi inntrykk av at dette er helt uproblematisk. Vi stiller oss bak anbefalingen fra NSM til ansatte i offentlige virksomheter i 2023 om å ikke installere TikTok på tjenesteenhetene sine.
• Gjøre risikovurderinger og vurderinger av personvernkonsekvenser (DPIA). Vi minner om at alle tilsynsmyndighetene i Europa står bak avgjørelsen om at TikToks overføring av personopplysninger til Kina er ulovlig.
• Være åpne overfor målgruppene deres om hvilke risikoer virksomhetens tilstedeværelse på TikTok kan innebære for dem. For eksempel, når brukerne interagerer med innhold dere legger ut, brukes dette til å profilere brukerne. Dessuten kan brukerne legge igjen kommentarer eller sende dere meldinger som sier noe om dem selv. Denne informasjonen kan altså personell i Kina få tilgang til.