Prípad TikTok: Zažitá lekcia
V roku 2022 - 2023 sa TikTok stali terčom regulačných agentúr po celom svete za prenos osobných údajov používateľov do Číny bez výslovného súhlasu a bez právneho základu.
Pokuta z roku 2023 bola 5.7 miliardy dolárov — kombinovane od FTC USA, CNIL Francúzska a ďalších regulátorov. Ale pokuta nie je hlavná vec. Hlavná vec je protiprávna logika transferu údajov:
- TikTok zbierali údaje z aplikácie v USA
- Preniesli sa do Číny na „analýzu"
- Bez preukázaného právneho základu (GDPR čl. 6)
- Bez informovania používateľov
Čl. 6 GDPR: Právny základ
Spracovanie osobných údajov je protiprávne, pokiaľ nemáte právny základ. GDPR stanovuje 6 právnych základov:
- Súhlas — fyzická osoba musí explicitne súhlasiť
- Zmluva — spracovanie je potrebné na plnenie zmluvy
- Právna povinnosť — zákon to vyžaduje
- Vita interesa — potrebné na ochranu vital interests
- Verejný záujem — spracovanie je v účinnosti štátu
- Oprávnené záujmy — oprávnené obchodné záujmy bez porušenia práv osôb
TikTok sa snažil pokryť transfer tým, že tvrdil „oprávnené záujmy" (bod 6), ale regulátory to neakceptovali.
Anonymizácia ako nástroj na dodržovanie
Pokiaľ anonymizujete údaje pred transferom, GDPR sa už na údaje nevzťahuje. Zákonník rozlišuje:
- Anonymizácia — ireverzibilný proces, ktorý odstráni všetku spojiteľnosť
- Pseudo-anonymizácia — reverzibilný proces, GDPR sa stále vzťahuje
Príklad: Pokiaľ máte údaje o používateľoch TikToku vrátane ID, mena, umiestnenia a historických videí, a anonymizujete ich tak, že:
- Odstránite ID
- Nahradíte meno slučovacím SHA-256 (jednosmerný hash)
- Zhlukujete geografickú polohu do krajiny
- Zagregujete historické videá do „kategorií"
Potom sú údaje naozaj anonymizované a GDPR sa nevzťahuje. Transfer sa stáva právne akceptovateľný.