(TAP) - TikTok bị 530 triệu EU vì chuyển dữ liệu cá nhân người dùng tại Khu vực Kinh tế châu Âu (EEA) sang Trung Quốc mà không đảm bảo các biện pháp bảo vệ tương đương tiêu chuẩn của Liên minh châu Âu.
Theo thông tin đăng tải trên trang web của DPC (Data Protection Commission) vào ngày 02/5 (giờ địa phương), Ủy ban Bảo vệ Dữ liệu Ireland (DPC) - cơ quan giám sát chính về quyền riêng tư của Liên minh châu Âu (EU) quyết định xử phạt TikTok tổng cộng 530 triệu EUR vì vi phạm Quy định Bảo vệ Dữ liệu Chung (GDPR). Quyết định là kết quả của cuộc điều tra kéo dài bốn năm do hai Ủy viên thuộc DPC – Tiến sĩ Des Hogan và ông Dale Sunderland chủ trì. DPC xác định TikTok vi phạm Điều 46(1) của GDPR khi chuyển dữ liệu cá nhân người dùng tại Khu vực Kinh tế châu Âu (EEA) sang Trung Quốc mà không đảm bảo các biện pháp bảo vệ tương đương tiêu chuẩn của Liên minh châu Âu.
Thông tin về quyết định xử phạt TikTok đăng tải trên trang web của DPC (Data Protection Commission)
Cụ thể, TikTok không chứng minh được rằng các biện pháp bổ sung cùng Điều khoản Hợp đồng Tiêu chuẩn (SCCs) mà họ áp dụng có khả năng bảo vệ dữ liệu trước nguy cơ bị truy cập từ xa bởi nhân viên tại Trung Quốc. TikTok lập luận rằng hoạt động truy cập này không chịu sự chi phối bởi các quy định pháp luật và thực tiễn mà DPC đang xem xét. Tuy vậy, chính TikTok đã cung cấp cho DPC một bản đánh giá pháp lý tại Trung Quốc, trong đó thừa nhận hệ thống luật pháp của nước này có nhiều khác biệt so với EU. Sau khi rà soát kỹ lưỡng, DPC nhận định các đạo luật như Luật An ninh mạng, Luật Tình báo Quốc gia, Luật Chống Khủng bố và Luật Chống Gián điệp của Trung Quốc không đáp ứng yêu cầu bảo vệ dữ liệu ở mức tương đương. Bên cạnh đó, TikTok còn bị chỉ trích vì chưa thực hiện đầy đủ việc đánh giá rủi ro và thiếu các biện pháp bảo vệ thích hợp khi chuyển dữ liệu ra ngoài EU.
Ảnh minh họa
Ngoài ra, DPC phát hiện TikTok vi phạm Điều 13(1)(f) của GDPR – quy định yêu cầu các tổ chức phải minh bạch trong việc thông báo về việc chuyển dữ liệu cá nhân sang quốc gia thứ ba. Trong Chính sách quyền riêng tư ban hành từ tháng 10/2021, TikTok không liệt kê rõ các quốc gia ngoài EU nơi dữ liệu người dùng có thể bị chuyển đến, cũng như không giải thích cụ thể về khả năng truy cập từ xa của nhân viên tại Trung Quốc đối với dữ liệu được lưu trữ tại Hoa Kỳ và Singapore. Mãi đến tháng 12/2022, TikTok mới điều chỉnh chính sách quyền riêng tư, làm rõ rằng dữ liệu người dùng EEA được lưu trữ tại Hoa Kỳ và Singapore và có thể bị truy cập từ xa bởi nhân viên tại Trung Quốc, Brazil, Malaysia, Philippines, Singapore và Hoa Kỳ. DPC đánh giá bản cập nhật này đã đáp ứng yêu cầu minh bạch theo quy định. Dù vậy, TikTok vẫn bị xác định vi phạm Điều 13(1)(f) trong khoảng thời gian từ ngày 29/7/2020 đến 01/12/2022.
Với các vi phạm nêu trên, DPC áp dụng tổng mức phạt hành chính đối với TikTok là 530 triệu EUR, bao gồm: 45 triệu EUR cho hành vi vi phạm Điều 13(1)(f) GDPR; 485 triệu EUR cho hành vi vi phạm Điều 46(1) GDPR. Đồng thời, DPC yêu cầu TikTok đưa hoạt động xử lý dữ liệu của mình vào trạng thái tuân thủ trong vòng 6 tháng. Nếu không, cơ quan này sẽ đình chỉ việc chuyển dữ liệu cá nhân từ EEA sang Trung Quốc.
Phó Ủy viên DPC, ông Graham Doyle, nhấn mạnh: “GDPR yêu cầu mức độ bảo vệ cao đối với dữ liệu cá nhân trong EU phải được duy trì khi chuyển đến các quốc gia khác. Việc TikTok không đảm bảo, xác minh và chứng minh mức độ bảo vệ tương đương cho dữ liệu bị truy cập từ xa bởi nhân viên tại Trung Quốc là một vi phạm nghiêm trọng. Công ty cũng đã không thực hiện đánh giá đầy đủ về khả năng các cơ quan chức năng Trung Quốc tiếp cận dữ liệu người dùng EEA theo các đạo luật nội địa – vốn có sự khác biệt đáng kể với tiêu chuẩn của EU.”
Le Thu
