TikTok’un Avrupa’daki veri transfer politikası büyük bir ceza ile karşılaştı.
İrlanda Veri Koruma Komisyonu (DPC), sosyal medya platformu TikTok’a ilişkin yürütülen kapsamlı bir incelemede, şirketin Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ihlali yaptığını belirledi. Komisyon, TikTok’un Avrupa Ekonomik Alanı (AEA) kullanıcılarının verilerini Çin’e aktarmada gerekli şeffaflık ve güvenlik önlemlerini uygulamadığını ortaya koydu. Bu nedenle şirkete toplamda 530 milyon euro tutarında para cezası verildi. Bu karar, 2025 yılı Nisan ayında kamuoyu ile paylaşıldı.
Cezanın 485 milyon euroluk kısmı, AEA verilerinin Çin’e aktarılması sırasında yeterli koruma sağlanmadığı için verildi. Geri kalan 45 milyon euro ise kullanıcı bilgilendirme yükümlülüklerinin ihlal edilmesiyle ilgiliydi. TikTok’un veri işleme süreçlerinde şeffaflık sağlamadığını ve kullanıcıları yeterince bilgilendirmediği ifade edildi. Bu durum, şirketin GDPR’nin 46(1) ve 13(1)(f) maddelerini ihlal ettiğini gösteriyor.
Açıklamalarda, TikTok’un AEA kullanıcı verilerine Çin’deki çalışanlarının uzaktan erişim sağladığı, ancak bu erişimin Avrupa veri güvenliği standartlarına uygunluğunun kontrol edilmediği belirtildi. DPC yetkilileri, Çin’deki terörle mücadele ve casusluk yasalarının kişisel verilerin güvenliğine önemli riskler oluşturduğunu, dolayısıyla Avrupa’dan gönderilen verilerin yeterince korunmadığını vurguladı. Bu nedenle TikTok’un mevcut uygulamaları, AB düzenlemeleri ile çelişiyor.
TikTok’un verileri Çin’de depoladığı ifadesi, şirketin önceki beyanlarıyla çelişiyor
Soruşturma sürecinde TikTok, AEA kullanıcı verilerinin Çin’de depolanmadığını savundu. Fakat şubat ayında gerçekleştirilen bir iç denetimde bazı Avrupa kullanıcı verilerinin Çin’deki sunucularda bulunduğu tespit edildi. Bu bulgu, şirketin daha önceki açıklamalarının güvenilirliğini sorgulattı. İlgili verilerin sonradan silindiği ifade edilse de, bu durum DPC’nin ek yaptırım seçeneklerini gözden geçirmesine yol açtı.
TikTok, karara itiraz edeceğini duyurdu. Şirketin Avrupa Kamu Politikaları ve Hükümet İlişkileri Başkanı Christine Grahn, verilen cezanın “Project Clover” adını taşıyan veri güvenliği programını dikkate almadığını vurguladı. 2023 yılında başlatılan bu proje, TikTok’un Avrupa’da yerel veri merkezleri kurarak kullanıcı verilerinin güvenliğini artırmayı amaçlıyor. Grahn’a göre, ceza daha önceki uygulamalara dayandırılıyor ve mevcut güvenlik altyapısını yansıtmıyor.
Ancak, TikTok’un “Project Clover” girişimi bu cezayı önlemekte yetersiz kaldı. Komisyon, değerlendirmelerini yalnızca altyapı projeleri ile değil, bu projelerin uygulamadaki etkileriyle de yapıyor. Bu bağlamda, alınan kararın mevcut güvenlik politikalarının etkinliği hakkında yeni sorular oluşturduğu görülüyor. Ayrıca AB içerisinde faaliyet gösteren diğer teknoloji şirketlerinin benzer uygulamaları da incelemeye alması olası.
DPC’nin kararı TikTok’a sadece para cezası getirmekle kalmayacak, aynı zamanda şirketin veri işleme faaliyetlerini altı ay içinde GDPR ile uyumlu hale getirmesini tailip ediyor. Aksi takdirde, Avrupa’dan Çin’e veri aktarımının tamamen durdurulması gündeme gelebilir. Bu da TikTok’un Avrupa’daki işletmelerini doğrudan etkileyecektir.
Daha önce de benzer ihlaller nedeniyle gündeme gelen TikTok, 2023 yılında çocuk kullanıcıların gizliliğini yeterince koruyamadığı gerekçesiyle 345 milyon euro ceza almıştı. Bu ceza, TikTok’a Avrupa’da verilen en yüksek ceza olarak kayıtlara geçti. Ayrıca bu durum, veri koruma otoritelerinin teknoloji şirketlerine olan denetimlerini daha da sıklaştırdığını gösteriyor.
Tüm bunların yanı sıra, Avrupa Komisyonu’nun Dijital Piyasalar Yasası (DMA) kapsamındaki diğer soruşturmaları devam ediyor. Büyük teknoloji şirketlerinin veri yönetimi uygulamaları inceleniyor ve bu gelişmeler, Avrupa’da dijital hizmetlerin geleceğini şekillendirecek yeni düzenlemelerin işareti olabilir.
