Veri Koruma Komisyonu (DPC), şirketin Avrupa Ekonomik Alanı (EEA) kullanıcılarının kişisel verilerinin Çin’deki sunuculara aktarılması ve depolanması ile ilgili uygulamalarını inceleyerek Tiktok Technology Limited hakkında resmi bir soruşturma başlattı.
Bu gelişme, 30 Nisan 2025’te sonuçlanan önceki bir soruşturmada ortaya çıkan tutarsızlıklardan kaynaklanmaktadır ve burada Tiktok, AEA kullanıcı verilerinin yerel sunucularda herhangi bir fiziksel depolama almadan sadece Çin’den uzaktan erişildiğini iddia etmektedir.
Sorgulama arka planı
Bununla birlikte, Tiktok daha sonra Nisan 2025’te aynı yılın Şubat ayında bir sorunu belirlediğini açıklayarak, sınırlı AEA kullanıcı verilerinin gerçekten de Çin sunucularında saklandığını ve daha önceki gönderimleriyle çeliştiğini açıkladı.
Bu vahiy, DPC’yi yanlış bilgilerin sunulması konusunda derin bir endişeyi ifade etmeye ve genel veri koruma düzenlemesi (GDPR) kapsamındaki potansiyel hesap verebilirlik ve şeffaflık ihlallerini vurgulamaya teşvik etti.
Önceki karara eşlik eden bir basın açıklamasında, DPC bu gelişmelere ciddi yaklaşımını vurguladı ve daha ileri düzenleyici eylemleri belirlemek için akran AB denetleyici otoritelerle istişareleri belirtti.
Komisyon üyeleri Dr. Des Hogan ve Bay Dale Sunderland tarafından 2018 Veri Koruma Yasası’nın 110. Bölümü uyarınca başlatılan yeni soruşturma, bu hafta başında Tiktok’a bildirildi.
GDPR’nin tek durak dükkan mekanizması içinde çalışır, AB düzenleyicileri arasında koordineli gözetim sağlar ve Tiktok’un bu uluslararası veri transferleri bağlamında kilit GDPR hükümlerine uygunluğunu değerlendirmeyi amaçlamaktadır.
Soruşturmanın kapsamı
Soruşturmanın merkezinde, Tiktok’un kişisel verilerin AÇA’nın dışındaki üçüncü ülkelere aktarılmasını yöneten GDPR Bölüm V Bölümü uyarınca yükümlülüklerine bağlı olup olmadığına dair bir inceleme.
Bu tür transferlere ancak AB içinde sağlananlara esasen eşdeğer bir koruma düzeyinde korunmaları durumunda izin verilir ve veri deneklerinin haklarının herhangi bir zayıflamasını önlerler.
DPC, özellikle veri denetleyicilerinin GDPR ilkelerine bağlılık göstermesini gerektirerek hesap verebilirliği zorunlu kılan 5 (2) maddesine uygunluğu araştıracaktır; Üçüncü ülkelere transferler hakkında kullanıcılara şeffaf bilgi talep eden Madde 13 (1) (f); Madde 31, denetleyici makamlarla tam olarak işbirliği yapma görevi uygulamak; ve Bölüm V’nin daha geniş gereksinimleri.
Özellikle, Çin, Japonya, Kore Cumhuriyeti veya Birleşik Krallık gibi yargı bölgelerinden farklı olarak, 45 (1) GDPR uyarınca Avrupa Komisyonu’ndan bir yeterlilik kararından yoksundur.
Böyle bir kararın yokluğunda, Tiktok, veri denetleyicisi olarak, transferleri meşrulaştırmak için standart sözleşmeye bağlı hükümler (SCC’ler) veya kurumsal kuralları (BCR’ler) bağlama gibi alternatif korumalara güvenmelidir.
Rapora göre, bu mekanizmalar kontrolörü, alıcı ülkenin yasal çerçevesinin ve uygulamalarının, Schrems sonrası Hukuk Hukukunda belirtildiği gibi risk değerlendirmeleri ve ek önlemler de dahil olmak üzere veri koruma standartlarını tehlikeye atmadığını doğrulamaya ve garanti etmeye zorlar.
Soruşturma, bu güvencelerin kritik öneminin altını çizmektedir, çünkü yetersiz yargı bölgelerinde uzaktan erişim veya yanlışlıkla depolama, AÇA kullanıcılarını yetkisiz gözetim veya erişim ve silme gibi hakların uygulanması gibi risklere maruz bırakabilir.
DPC, bu teknik yönleri inceleyerek, küresel platformların sınır ötesi verilerin akışlarını nasıl ele aldığı konusunda emsalleri belirleyerek sağlam veri yönetişimi uygulamaya çalışır.
Bu dava sadece Tiktok’un hesap verebilirlik turlarını vurgulamakla kalmaz, aynı zamanda GDPR’nin dijital çağın karmaşıklıkları arasında kullanıcıları güçlendirmedeki rolünü ilgi çekici bir hatırlatma görevi görür ve şirketleri daha güvenli bir çevrimiçi ekosisteme şeffaflığa ve uyumluluğa öncelik vermeye teşvik eder.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.