İrlanda Veri Koruma Komisyonu (DPC), video paylaşım platformu TikTok’a yönelik kapsamlı bir soruşturma sonucunda, şirketin Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (GDPR) ihlal ettiğine karar verdi. Komisyon, TikTok’un Avrupa Ekonomik Alanı (AEA) kullanıcılarının verilerini Çin’e aktarmasında şeffaflık ve güvenlik yükümlülüklerini yerine getirmediğini tespit etti. Bu kapsamda şirkete toplamda 530 milyon euro para cezası verildi. Karar, 2025 yılı Nisan ayında kamuoyuna duyuruldu.
Cezanın 485 milyon euroluk kısmı, AEA verilerinin Çin’e aktarım sürecinde yeterli korumanın sağlanmaması nedeniyle verildi. Geriye kalan 45 milyon euroluk bölüm ise kullanıcı bilgilendirme yükümlülüklerinin yerine getirilmemesiyle ilgiliydi. TikTok’un veri işleme süreçlerinde yeterince açık davranmadığı ve kullanıcıları bilgilendirmekte eksik kaldığı vurgulandı. Buna göre şirket, GDPR’nin 46(1) ve 13(1)(f) maddelerini ihlal etti.
Komisyon tarafından yapılan açıklamada, TikTok’un AEA kullanıcı verilerinin Çin’deki personele uzaktan erişim imkanı sağladığı, fakat bu erişimin Avrupa’daki veri güvenliği standartlarına uygun olup olmadığını denetlemediği ifade edildi. DPC yetkilileri, Çin’de geçerli olan terörle mücadele ve casuslukla ilgili yasal düzenlemelerin, kişisel verilerin güvenliği açısından ciddi risk oluşturduğunu belirtti. Bu durum, Avrupa’dan gönderilen verilerin yeterince korunmadığına işaret ediyor. Bu nedenle TikTok’un mevcut uygulamaları, AB düzenlemeleriyle açık bir şekilde çelişiyor.
TikTok’un verileri Çin’de tuttuğu iddiası şirketin eski beyanlarıyla çelişti
Soruşturma sırasında TikTok, AEA kullanıcı verilerinin Çin’de depolanmadığını ileri sürmüştü. Ancak şubat ayında yapılan bir iç inceleme sonucunda, sınırlı sayıda Avrupa kullanıcısına ait verinin Çin’deki sunucularda bulunduğu ortaya çıktı. Bu tespit, şirketin daha önce verdiği bilgilerin doğruluğunu sorgulattı. İlgili verilerin sonradan silindiği bildirilse de, bu durum DPC’nin ek yaptırım seçeneklerini değerlendirmesine neden oldu.
TikTok, karara itiraz edeceğini duyurdu. Şirketin Avrupa Kamu Politikaları ve Hükümet İlişkileri Başkanı Christine Grahn, alınan kararın “Project Clover” adlı veri güvenliği programını dikkate almadığını belirtti. 2023 yılında başlatılan bu proje kapsamında TikTok, Avrupa’da yerel veri merkezleri kurarak kullanıcı verilerinin güvenliğini artırmayı hedeflemişti. Grahn’a göre, ceza geçmiş döneme ait uygulamalara dayandırılıyor ve şu anki güvenlik altyapısını yansıtmıyor.
Her ne olursa olsun, TikTok’un “Project Clover” girişimi bu cezayı engellemeye yetmedi. Komisyon, değerlendirmelerinde yalnızca altyapı projelerini değil, uygulamadaki etkilerini de dikkate alıyor. Bu açıdan bakıldığında, alınan kararın mevcut güvenlik politikalarının etkinliği konusunda yeni sorular doğurduğu görülüyor. Ayrıca AB içinde faaliyet gösteren diğer teknoloji şirketleri için de benzer uygulamaların mercek altına alınması muhtemel.
DPC’nin verdiği karar TikTok’a yalnızca para cezası getirmiyor. Aynı zamanda şirketin altı ay içinde veri işleme faaliyetlerini GDPR ile uyumlu hale getirmesi isteniyor. Aksi takdirde, Avrupa’dan Çin’e veri aktarımının tamamen durdurulması gündeme gelebilir. Bu da şirketin Avrupa’daki operasyonlarını doğrudan etkileyebilir.
TikTok daha önce de benzer ihlaller nedeniyle gündeme gelmişti. 2023 yılında çocuk kullanıcıların gizliliğini yeterince korumadığı gerekçesiyle 345 milyon euro ceza almıştı. Bu son karar ise bugüne kadar TikTok’a Avrupa’da verilen en yüksek ceza olma niteliği taşıyor. Öte yandan bu durum, veri koruma otoritelerinin teknoloji şirketlerine yönelik denetimlerini daha da sıkılaştırdığını gösteriyor.
Tüm bunların yanında, Avrupa Komisyonu’nun Dijital Piyasalar Yasası (DMA) kapsamındaki diğer soruşturmaları da devam ediyor. Özellikle büyük teknoloji şirketlerinin veri yönetimi uygulamaları mercek altına alınmış durumda. Bu gelişmeler, Avrupa’da dijital hizmetlerin geleceğini şekillendirecek yeni düzenlemelerin habercisi olabilir.
