TikTok startet tirsdag en omfattende rettsprosess i Dublin for å forsvare hvordan selskapet håndterer personvern og brukerdata i Europa. Saken kan få stor betydning for hvordan kinesisk-eide selskaper opererer i Europa, særlig i lys av kinesiske lover som åpner for omfattende innsyn fra myndighetene.
TikTok møter Irlands datatilsyn, Data Protection Commission, som regnes som Europas mest innflytelsesrike personvernmyndighet. Tilsynet fører tilsyn med en rekke store teknologiselskaper, og har en sentral rolle i håndhevelsen av EUs personvernregelverk GDPR.
Kjernen i striden er om TikTok kan overføre europeiske brukeres personopplysninger til Kina, eller om slike dataflyter må stanses. Den irske regulatoren ønsker at TikTok skal kutte overføringer til Kina, med mindre selskapet kan dokumentere at informasjonen er beskyttet mot kinesiske overvåkings- og etterretningslover.
Boten på 530 millioner euro
Bakgrunnen for rettssaken er at det irske datatilsynet i fjor ila TikTok en bot på 530 millioner euro. Regulatoren mente at selskapet hadde tillatt ansatte i Kina å få tilgang til europeiske brukerdata, uten å kunne «verifisere, garantere og demonstrere» at opplysningene var tilstrekkelig beskyttet.
Under åpningen i retten understreket TikToks advokater at konsekvensene av regulatorens vedtak vil bli store. Selskapets senioradvokat Paul Gallagher anslo at etterlevelse av pålegget kan koste opptil 5 milliarder euro.
– Konsekvensene av regulatorens beslutning er enorme, selv for en svært stor organisasjon som TikTok, sa Gallagher i retten.
Kan tvinges til å koble seg fra Kina
Dersom domstolen gir datatilsynet medhold, kan det i praksis tvinge TikTok til å omorganisere virksomheten slik at den europeiske tjenesten ikke lenger er koblet til Kina. TikTok har selv opplyst at krav om å stanse dataflyt vil kunne innebære flytting av tusenvis av ansatte ut av Kina, og kostnader i milliardklassen.
Saken kommer kort tid etter at TikTok gjorde strukturelle grep i USA for å møte amerikanske bekymringer om datasikkerhet. I Europa vil en streng dom kunne skape presedens for andre selskaper med eiere eller nøkkelpersonell i land der myndighetene har brede hjemler til å kreve tilgang til data.
Uenighet om kinesiske lover gjelder
TikTok eies av ByteDance, som har hovedkontor i Beijing. Samtidig opplyser selskapet at europeiske brukerdata lagres utenfor Kina, og at kinesisk lovgivning derfor ikke skal komme til anvendelse. TikTok har også sagt at selskapet aldri har mottatt krav om å utlevere europeiske brukerdata til kinesiske myndigheter.
Datatilsynet mener på sin side at kinesiske lover om overvåking og etterretning kan gi myndighetene tilgang, og at dette skaper en risiko som ikke kan avfeies uten solid dokumentasjon og tekniske samt juridiske garantier.
Gallagher beskrev uenigheten som et spørsmål om hvilke lover som er relevante, og om de i det hele tatt gjelder for TikToks behandling av europeiske data.
– Dette handler om det TikTok beskriver som de relevante lovene, og det datatilsynet beskriver som de problematiske lovene. Vi mener de ikke er problematiske, fordi vi mener de ikke gjelder. Datatilsynet mener de er problematiske, fordi det mener de gjelder, sa han i retten.
Hva slags data kan være berørt
Under etterforskningen skal TikTok ha opplyst at ansatte i Kina kunne få ekstern tilgang til enkelte data om europeiske brukere, selv om informasjonen var lagret utenfor Kina. Ifølge beskrivelsene kan dette ha omfattet brukernavn og kontodetaljer, interaksjons- og aktivitetsdata, samt andre personopplysninger.
Selskapet har også opplyst at det ikke har som mål å samle inn sensitive opplysninger, men at slikt innhold kan forekomme dersom brukere laster opp eller deler det. TikTok har pekt på at tilgangen skal være begrenset og styrt, blant annet for forskning, sikkerhet, analyse og drift.
Project Clover og politisk motstand
TikTok har de siste årene forsøkt å dempe europeiske sikkerhetsbekymringer gjennom tiltak som Project Clover, en storsatsing som skal legge til rette for lagring av data i Europa og tettere kontroll med tilganger. Likevel har tiltakene ikke vært nok til å overbevise politikere og myndigheter.
I 2023 innførte EU forbud mot TikTok på tjenestetelefonene til egne ansatte. Flere europeiske land fulgte opp med lignende restriksjoner.
En test av GDPR utenfor USA-sporet
Saken ses som en viktig stresstest for GDPR og hvordan regelverket håndterer overføring av data til land utenfor EU. Mens EU i mange år har hatt gjentatte konflikter med USA om personvern og masseovervåking, har dataflyt til Kina i mindre grad vært gjenstand for rettslige prøvinger i Europa.
Flere avtaler mellom EU og USA om overføring av personopplysninger har tidligere blitt underkjent av europeiske domstoler, nettopp på grunn av bekymringer knyttet til overvåking. For Kina har det vært færre tilsvarende saker som belyser hvordan europeiske data kan beskyttes når de potensielt kommer innenfor rekkevidde av kinesiske myndigheter.
Rettshøringen i Dublin er planlagt å pågå i ti dager. Utfallet kan få ringvirkninger langt utover TikTok, og sette standarden for hvordan europeiske myndigheter vurderer personvernrisiko når data behandles i eller har koblinger til jurisdiksjoner med sterke overvåkingsfullmakter.
