TikTok skal betale milliarder for ikke at efterleve GDPR

Nyhed

12.05.2025

Det kinesiske sociale medie har modtaget en bøde på hele 530 millioner euro. Bøden er udstedt af det irske datatilsyn, fordi platformen ikke har et tilstrækkeligt beskyttelsesniveau, når det kommer til overførslen af personoplysninger fra Europa til Kina.

Kvinde sidder ved bord med mobil i hånden

Den irske databeskyttelseskommission (DPC) har undersøgt TikToks overførsel af personoplysninger fra brugere i Europa (EU/EØS) til Kina.

Det er altså resultatet af den undersøgelse, der nu betyder, at TikTok modtager en bøde på hele 530 millioner euro

Samtidig har DPC udstedt et påbud til TikTok om at bringe behandlingen i overensstemmelse med GDPR samt et påbud om at indføre korrigerende foranstaltninger.

Baggrunden for millionbøden

DPC fastslog den 2. maj 2025, at TikTok ikke efterlevede deres forpligtelser ifølge GDPR ved at undlade at verificere, garantere og demonstrere et tilstrækkeligt beskyttelsesniveau for EØS-brugerdata, der blev tilgået eksternt fra Kina.

Dette er især et problem set i lyset af kinesiske myndigheders potentielle adgang under kinesisk lovgivning.

DPC fandt også ved undersøgelsen, at TikToks gennemsigtighed over for brugerne vedrørende disse overførsler var utilstrækkelig i en periode. Bøden omfatter 45 millioner euro for manglende gennemsigtighed og 485 millioner euro for de ulovlige dataoverførsler.

Det vil sige en bøde på i alt 530 millioner euro.

TikTok skal rette op

TikTok er derudover blevet påbudt at bringe behandlingen i overensstemmelse med det nødvendige beskyttelsesniveau inden for seks måneder – ellers skal alle dataoverførsler til Kina bringes til ophør.

DPC bemærkede desuden, at nogle EØS-brugerdata er blevet opbevaret på servere i Kina, hvilket ikke stemmer overens med tidligere fremlagt dokumentation fra TikTok.

Hvad viser afgørelsen?

Afgørelsen understreger, at overførsel fra EU til tredjelande kræver, at beskyttelsesniveauet som minimum skal være tilsvarende det, der gælder efter GDPR-reglerne.

Hvis der ikke foreligger en tilstrækkelighedsafgørelse (f.eks. Data Privacy Framework som gælder for overførsler til USA), skal der anvendes andre overførselsgrundlag. Det kan f.eks. være standardkontraktbestemmelser (SCC) for at dokumentere det nødvendige sikkerhedsniveau.

Vil du vide mere om tredjelandsoverførsler, kan du læse HjulmandKaptains databeskyttelsesteams guide til, hvad du skal være opmærksom på her

Virksomheder skal aktivt vurdere, hvordan tredjelandets love og praksis (f.eks. love om myndigheders adgang til data) kan underminere effektiviteten af de anvendte sikkerhedsforanstaltninger.

Det gør du ved at udarbejde en Transfer Impact Assessment (TIA). Du finder vejledning til, hvordan du udarbejder en TIA i HjulmandKaptains guide her

Afgørelsen viser altså, hvor vigtigt det er, at der er gennemsigtighed, hvis du planlægger at lave en overførsel af personoplysninger uden for EU. De registrerede skal oplyses herom.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål eller brug for rådgivning i forbindelse med GDPR, så er du altid velkommen til at kontakte os – vi er specialister i databeskyttelse, og vi står klar til at hjælpe dig.