fbpx

TikTok bötfälls med 530 miljoner euro i Irland för dataöverföring till Kina: Strategisk integritet eller geopolitisk signal?

Juridisk - maj 30, 2025 by Martin Lynch
Irlands Uppgifter Skydd Kommissionen (DPC) håller den kritisk ansvar av verkställighet den Europeiska Unionens Allmänt Uppgifter Skydd Reglering (GDPR) för många USA-baserad teknik Jättar huvudkontor i Irland, a roll att har drivkraft den regulator in i den globala spotlight. Över nyligen år, den DPC:s sträng verkställighet tillvägagångssätt har dras utbredd uppmärksamhet, positionering Irland som a avgörande spelare i reglerande den data metoder av vissa av den världens största Teknik företag.
Den 2 maj meddelade DPC ett viktigt beslut där TikTok Technology Limited dömdes att betala 530 miljoner euro i böter för överträdelser av GDPR. Beslutet innehöll ett direktiv för TikTok att se till att dess databehandling uppfyller kraven inom sex månader och ett villkorligt föreläggande om att avbryta dataöverföringar till Kina om företaget inte uppfyller denna tidsfrist. Även om böterna är betydande är de mindre än de böter på 1,2 miljarder euro som Meta ålades 2023 och som härrörde från DPC:s slutsats att Meta Ireland bröt mot artikel 46.1 i GDPR genom att fortsätta att överföra personuppgifter från EU/EES till USA efter EU-domstolens dom i Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.

Det är inte heller TikToks första sammanstötning med DPC. I september 2023 bötfällde tillsynsmyndigheten plattformen 345 miljoner euro för GDPR-överträdelser relaterade till barns data, med hänvisning till public-by-default-kontoinställningar för användare i åldern 13 till 17 år och otillräcklig åldersverifiering. TikTok överklagade beslutet till Irish High Court och hävdade att böterna var oproportionerliga, men utfallet är ännu inte klart.

DPC:s Deputy Commissioner Graham Doyle framhöll att TikToks överföringar av personuppgifter till Kina stred mot dataskyddsförordningen eftersom TikTok inte kontrollerade, garanterade och visade att EES-användarnas personuppgifter, som personal i Kina hade fjärråtkomst till, hade en skyddsnivå som i allt väsentligt motsvarade den som garanteras inom EU.

Dessa misslyckanden förvärrades av vad DPC menar var felaktig information som lämnades under dess förfrågningar. DPC noterade vidare att TikTok under hela sin utredning informerade DPC om att de inte lagrade EES-användardata på servrar belägna i Kina.

I april 2025 framkom emellertid att TikTok informerade DPC om att man i februari 2025 hade upptäckt fall där begränsade EES-användaruppgifter i själva verket hade lagrats på servrar i Kina, i strid med TikToks vittnesmål i DPC:s utredning.

DPC:s åtgärd kommer sannolikt att intensifiera de befintliga geopolitiska spänningarna mellan EU och Kina. Även om beslutet officiellt grundar sig på tekniska GDPR-överträdelser, förstärker tidpunkten och fokuseringen på kinesiska åtkomstrisker uppfattningen att tillämpningen i allt högre grad formas av strategiska överväganden som går utöver integritetslagstiftningen. Kritiker hävdar att dataskydd, även om det är en legitim regleringsfråga, används som ett ombudsinstrument i en bredare kamp om teknisk suveränitet och inflytande.

Den politiska reaktionen från Irlands oppositionsparti Socialdemokraterna har inte låtit vänta på sig. Partiets talesperson i digitaliseringsfrågor, Sinead Gibney, som också är tidigare chef för Irlands kommission för mänskliga rättigheter och jämlikhet, välkomnade beslutet från DPC. Enligt Gibney är straffet en påminnelse till sociala medieföretag om att de kommer att få betala ett mycket högt pris för att bryta mot sina användares GDPR-rättigheter. Gibney noterade också att det är viktigt att Irlands lagar och regler på ett robust sätt försvarar rätten till integritet och dataskydd. Irlands EU-parlamentariker Billy Kelleher från partiet Fianna Fail var också snabb med att försvara dataskyddsförordningen. I ett inlägg på X använde han utfallet för att slå tillbaka mot politiker som hävdar att EU:s Digital Services Act och regler om skydd av personuppgifter är betungande. Mycket stora onlineplattformar måste regleras för att skydda individer och samhället, och EU kommer att skydda medborgarna, sade han.

Det finns emellertid också en känsla av att den extraordinära storleken på det bötesbelopp som DPC utdömt och de grunder på vilka DPC grundat sitt beslut ännu kan visa sig vara något av ett tveeggat svärd. Det finns inte heller någon tydlig indikation på att DPC: s strategi och de böter som den tar ut kommer att göra något för att väsentligt ändra TikToks praxis, med tanke på moderbolaget ByteDances djupa fickor. TikToks annonsintäkter över hela världen beräknas uppgå till 33,1 miljarder dollar 2025, vilket motsvarar en ökning med 40,5 procent från 2024. Detta kommer att göra det möjligt för dem att driva ärendet genom irländska domstolar i flera år och därför försena efterlevnaden, ungefär som Metas pågående juridiska strider om sina böter på 1,2 miljarder euro.

Detta har väckt oro inom EU:s politiska kretsar. Flera analytiker inom digital politik har varnat för att EU:s fragmenterade strategi för efterlevnad, med hårdare behandling av TikTok och mildare reaktioner mot EU-baserade överträdare, riskerar att politisera GDPR i sig. Om tillämpningen verkar inkonsekvent eller inriktad på geopolitiska linjer kan förordningen förlora sin trovärdighet som ett neutralt rättsligt instrument och i stället börja fungera som ett verktyg för ekonomiska påtryckningar. För multinationella företag innebär detta en osäkerhet kring regelverket som sträcker sig långt bortom datalagstiftningen.

DPC:s fokus på TikTok väcker dessutom frågor om konsekvens. Tusentals företag förlitar sig på liknande dataöverföringsmekanismer, men TikToks kinesiska ägande gör det till en blixt från klar himmel för granskning, vilket potentiellt kan utsätta EU för anklagelser om selektiv tillämpning.

Samtidigt finns det en växande frustration bland jurister över att DPC:s dubbla roll som både tillsynsmyndighet och värdland för många globala teknikföretag fortfarande är olöst. Irlands ställning som de facto datatillsynsmyndighet för EU:s största plattformar, på grund av företagens huvudkontor i Dublin, gör att landet befinner sig i en strukturellt konfliktfylld roll där man måste balansera aggressiv tillämpning med behovet av att behålla sin attraktionskraft som ett nav för utländska investeringar. Rättslärda hävdar att denna spänning, om den inte löses, kan utsätta Irland för anklagelser om antingen regleringsfångst eller övergrepp, beroende på fallet. DPC fortsätter sin nitiska jakt på efterlevnad av GDPR, och den känsliga balansen mellan att skydda integritetsrättigheter och upprätthålla Irlands ekonomiska konkurrenskraft är fortfarande under press.

Man måste också ta hänsyn till det faktum att Irlands ekonomi har blomstrat som ett nav för teknikjättar som Meta, Google och TikTok, till stor del på grund av dess gynnsamma skattesystem, engelsktalande arbetskraft och historiskt sett affärsvänliga regelverk.

Det kan dock inte dröja länge innan Datainspektionens ivriga strävan att upprätthålla GDPR hotar att urholka denna konkurrensfördel.

Kritiker, inklusive företrädare för näringslivet, har länge hävdat att alltför höga böter och reglerande granskning kan avskräcka från framtida investeringar. Sheryl Sandberg på Facebook varnade till exempel 2014 irländska tjänstemän för att en alltför strikt reglering skulle kunna få företag att se över sina investeringsstrategier i EU.

Slutligen bör det noteras att TikTok omedelbart gick ut med ett kraftfullt avvisande av DPC:s slutsatser. Därmed framhölls att domen kan få konsekvenser för hela EU eftersom den, enligt bolagets uppfattning, riskerar att skapa ett prejudikat för företag och hela branscher i Europa som är verksamma på global nivå. I uttalandet framfördes också TikToks uppfattning att domen innebär ett slag mot EU:s konkurrenskraft.

Christine Grahn, chef för TikToks Public Policy och Government Relations i Europa, angrep särskilt DPC:s beslut med motiveringen att det inte fullt ut beaktade Project Clover, TikToks branschledande datasäkerhetsinitiativ på 12 miljarder euro som enligt företaget omfattar några av de strängaste dataskydden i världen.

TikTok anklagade DPC för att istället fokusera på en utvald period för flera år sedan, före Clovers implementering 2023, ett fokus som inte återspeglar de skyddsåtgärder som nu finns på plats.

Ytterligare kritik som riktats mot Irlands dataskyddsmyndighet är att dataskyddsmyndigheten själv i sin rapport noterade det som TikTok konsekvent har sagt: företaget har aldrig fått någon begäran om europeiska användaruppgifter från de kinesiska myndigheterna och har aldrig lämnat ut europeiska användaruppgifter till dem.

Med 175 miljoner användare i Europa, över 6 000 anställda och en ekonomisk påverkan som omfattar 4,8 miljarder euro i BNP-bidrag och stöd för 51 000 arbetstillfällen, är TikTok djupt förankrat i den europeiska ekonomin. Företaget meddelade sin avsikt att överklaga DPC:s beslut i sin helhet och hävdade att beslutet inte tar hänsyn till företagets nuvarande dataskyddsåtgärder och att det på ett orättvist sätt riktar sig mot företagets verksamhet.

TikTok säger att de inte håller med om beslutet och planerar att överklaga beslutet i sin helhet.