TikTok, 530 milyon avroluk rekor para cezası ödemek zorunda kalacak. İrlanda Veri Koruma Komisyonu'nun kararı, Avrupa'daki gizlilik korumaları ile küresel platformların veri yönetimi uygulamaları arasındaki çatışmada bir dönüm noktası teşkil ediyor. Denetim otoritesi, Avrupa kullanıcılarının kişisel bilgilerinin Genel Veri Koruma Yönetmeliği'ni (GDPR) açıkça ihlal ederek Çin'e yasadışı olarak aktarıldığını tespit etti. Bu ceza, İrlanda makamlarının şimdiye kadar verdiği en ağır cezalardan biri olup, yalnızca Amazon ve Facebook'a benzer ihlaller nedeniyle verilen cezalardan daha ağır oldu.
Ceza iki bölümden oluşuyor, GDPR'nin 46(1) maddesini ihlal ederek Çin'e hukuka aykırı veri aktarımı nedeniyle 485 milyon € ve 13. maddesini ihlal ederek şeffaflık eksikliği nedeniyle 45 milyon € bu önlem sadece ekonomik boyutun ötesine geçiyor. TikTok'un veri işleme prosedürlerini Avrupa düzenlemelerine uyarlaması için yalnızca altı ayı var ve bu sürenin sonunda Çin'e yapılacak her türlü transferin askıya alınması cezası söz konusu.
Tartışmanın özünde sadece sunucuların fiziksel konumu değil, çok daha derin bir risk yatıyor. DPC müfettişleri, asıl sorunun Çin makamlarının terörizm ve casuslukla ilgili ulusal yasaları uyarınca Avrupa kullanıcılarının verilerine erişebilme ihtimali olduğunu, bu yasaların Avrupa Birliği standartlarıyla doğrudan çeliştiğini vurguladı.
DPC Başkan Yardımcısı Graham Doyle, "TikTok'un, Çin makamlarının Avrupa Ekonomik Alanı'ndaki kişisel verilere erişme olasılığına karşı gerekli değerlendirmeleri yapmadığını" vurguladı. Platformun da kabul ettiği üzere, Çin yasalarının kişisel verilerin korunmasına ilişkin Avrupa standartlarından önemli ölçüde farklı olduğu göz önüne alındığında, bu durum özellikle ciddi bir boşluk oluşturmaktadır.
Şirketin açıklamalarında çelişkiler de ortaya çıkıyor. TikTok, soruşturma sırasında Avrupa'daki kullanıcı verilerinin Çin'deki sunucularda saklanmadığını ileri sürmüştü. Ancak platform, 2025 yılının nisan ayında, bundan sadece iki ay önce, bazı Avrupa kullanıcı verilerinin aslında Çin'deki sunucularda saklandığını keşfettiğini açıkladı.
Şirket, DPC'ye uygunsuz şekilde saklanan verileri sildiğini bildirmiş olsa da İrlanda otoritesi, diğer AB veri koruma otoriteleriyle istişare ederek daha fazla düzenleyici işlem yapmayı düşünüyor. Bu ulusötesi işbirliği, konunun kıtasal boyutunu ve Avrupa denetim otoritelerinin koordineli çabalarını vurgulamaktadır.
TikTok Avrupa Hükümet İlişkileri Başkanı Christine Grahn, karara itiraz ederek temyize gideceğini duyurdu. Grahn, DPC'nin platformun yakın zamanda hayata geçirdiği veri güvenliği girişimi olan "Project Clover"ı yeterince dikkate almadığını belirtti. "Project Clover'ın bir parçası olarak" dedi, "TikTok, Çin'deki çalışanlar tarafından erişilmeden önce hassas olmayan verilerin kimliğinin gizlenmesini sağlamak için erişim sırasında şifreleme ve farklı gizlilik gibi gelişmiş gizlilik koruma teknolojileri uyguladı."
Bu yaptırım, Çin platformuna karşı alınan bir dizi önlemin yalnızca son bölümünü temsil ediyor. TikTok, daha önce de küçüklerin verilerinin işlenmesi sırasında mahremiyetine ilişkin ihlaller nedeniyle aynı Veri Koruma Kurulu'ndan 345 milyon avro para cezası almıştı. Yetkililer ayrıca video kaydı ve yayınlama sürecinde kullanıcıları gizliliklerini tehlikeye atan seçeneklere yönlendiren "karanlık desenler" kullanıldığını tespit etti.
Ocak 2023'te Fransız veri koruma otoritesi (CNIL), TikTok'un kullanıcıları çerez kullanımı hakkında yeterli şekilde bilgilendirmediğini ve bu nedenle devre dışı bırakma sürecini zorlaştırdığını tespit ederek 5 milyon avro para cezası verdi.
Ceza iki bölümden oluşuyor, GDPR'nin 46(1) maddesini ihlal ederek Çin'e hukuka aykırı veri aktarımı nedeniyle 485 milyon € ve 13. maddesini ihlal ederek şeffaflık eksikliği nedeniyle 45 milyon € bu önlem sadece ekonomik boyutun ötesine geçiyor. TikTok'un veri işleme prosedürlerini Avrupa düzenlemelerine uyarlaması için yalnızca altı ayı var ve bu sürenin sonunda Çin'e yapılacak her türlü transferin askıya alınması cezası söz konusu.
Tartışmanın özünde sadece sunucuların fiziksel konumu değil, çok daha derin bir risk yatıyor. DPC müfettişleri, asıl sorunun Çin makamlarının terörizm ve casuslukla ilgili ulusal yasaları uyarınca Avrupa kullanıcılarının verilerine erişebilme ihtimali olduğunu, bu yasaların Avrupa Birliği standartlarıyla doğrudan çeliştiğini vurguladı.
DPC Başkan Yardımcısı Graham Doyle, "TikTok'un, Çin makamlarının Avrupa Ekonomik Alanı'ndaki kişisel verilere erişme olasılığına karşı gerekli değerlendirmeleri yapmadığını" vurguladı. Platformun da kabul ettiği üzere, Çin yasalarının kişisel verilerin korunmasına ilişkin Avrupa standartlarından önemli ölçüde farklı olduğu göz önüne alındığında, bu durum özellikle ciddi bir boşluk oluşturmaktadır.
Şirketin açıklamalarında çelişkiler de ortaya çıkıyor. TikTok, soruşturma sırasında Avrupa'daki kullanıcı verilerinin Çin'deki sunucularda saklanmadığını ileri sürmüştü. Ancak platform, 2025 yılının nisan ayında, bundan sadece iki ay önce, bazı Avrupa kullanıcı verilerinin aslında Çin'deki sunucularda saklandığını keşfettiğini açıkladı.
Şirket, DPC'ye uygunsuz şekilde saklanan verileri sildiğini bildirmiş olsa da İrlanda otoritesi, diğer AB veri koruma otoriteleriyle istişare ederek daha fazla düzenleyici işlem yapmayı düşünüyor. Bu ulusötesi işbirliği, konunun kıtasal boyutunu ve Avrupa denetim otoritelerinin koordineli çabalarını vurgulamaktadır.
TikTok Avrupa Hükümet İlişkileri Başkanı Christine Grahn, karara itiraz ederek temyize gideceğini duyurdu. Grahn, DPC'nin platformun yakın zamanda hayata geçirdiği veri güvenliği girişimi olan "Project Clover"ı yeterince dikkate almadığını belirtti. "Project Clover'ın bir parçası olarak" dedi, "TikTok, Çin'deki çalışanlar tarafından erişilmeden önce hassas olmayan verilerin kimliğinin gizlenmesini sağlamak için erişim sırasında şifreleme ve farklı gizlilik gibi gelişmiş gizlilik koruma teknolojileri uyguladı."
Bu yaptırım, Çin platformuna karşı alınan bir dizi önlemin yalnızca son bölümünü temsil ediyor. TikTok, daha önce de küçüklerin verilerinin işlenmesi sırasında mahremiyetine ilişkin ihlaller nedeniyle aynı Veri Koruma Kurulu'ndan 345 milyon avro para cezası almıştı. Yetkililer ayrıca video kaydı ve yayınlama sürecinde kullanıcıları gizliliklerini tehlikeye atan seçeneklere yönlendiren "karanlık desenler" kullanıldığını tespit etti.
Ocak 2023'te Fransız veri koruma otoritesi (CNIL), TikTok'un kullanıcıları çerez kullanımı hakkında yeterli şekilde bilgilendirmediğini ve bu nedenle devre dışı bırakma sürecini zorlaştırdığını tespit ederek 5 milyon avro para cezası verdi.
