Τι άλλο να κάνουμε για να κριθούν τα μέτρα μας επαρκή; Απάντηση του TikTok για το πρόστιμο της ιρλανδικής αρχής

Την απάντησή της για το πρόστιμο ύψους 530 εκατομμυρίων ευρώ που της επιβλήθηκε από την ιρλανδική αρχή προστασίας δεδομένων DPC δημοσίευσε η TikTok με ανάρτηση στον ιστότοπό της.

Διαβάστε σχετικά: TikTok: 530 εκατ. ευρώ πρόστιμο για διαβιβάσεις δεδομένων στην Κίνα

Η εταιρεία εκφράζει την απογοήτευσή της για την απόφαση της ιρλανδικής αρχής, αναλύοντας τα πρωτοφανή, όπως τα χαρακτηρίζει, μέτρα προστασίας των δεδομένων των ευρωπαίων χρηστών, τα οποία έχει λάβει στο πλαίσιο του προγράμματος Project Clover. Μολονότι η απόφαση της DPC αφορά το χρονικό διάστημα πριν την ανάπτυξη και εφαρμογή του Project Clover, η TikTok θεωρεί πως η πρωτοβουλία της αυτή – μια επένδυση ύψους 12 δισεκατομμυρίων ευρώ, όπως αναφέρει χαρακτηριστικά – θα έπρεπε να έχει ληφθεί, στα σοβαρά, υπόψιν από την εποπτική αρχή.

Παράλληλα, η εταιρεία εκφράζει την απορία της ως προς το γιατί οι τυποποιημένες συμβατικές ρήτρες που χρησιμοποιήθηκαν για τη διασφάλιση των διαβιβάσεων δεδομένων εκτός ΕΟΧ, δεν κρίθηκαν επαρκείς, τη στιγμή που αφενός αποτελούν ένα εργαλείο που το ίδιο το ενωσιακό δίκαιο προβλέπει, αφετέρου χρησιμοποιούνται από όλους τους τεχνολογικούς κολοσσούς που δραστηριοποιούνται στην Ευρωπαϊκή Ένωση.

Η TikTok διατυπώνει προβληματισμό σχετικά με τις επιπτώσεις που μπορεί να έχει η απόφαση αυτή στην ανταγωνιστικότητα της ΕΕ και γνωστοποιεί πως προτίθεται να προσφύγει δικαστικά για την ακύρωσή της.

Η πλήρης ανάρτηση της εταιρείας έχει ως εξής:

Η απάντησή μας στην απόφαση της Ιρλανδικής Αρχής Προστασίας Δεδομένων σχετικά με τις διαβιβάσεις δεδομένων

• Η απόφαση δεν λαμβάνει πλήρως υπόψη το Project Clover, την πρωτοποριακή πρωτοβουλία μας για την ασφάλεια των δεδομένων, αξίας 12 δισεκατομμυρίων ευρώ, η οποία περιλαμβάνει μερικά από τα πιο αυστηρά μέτρα προστασίας δεδομένων που υπάρχουν. Αντίθετα, επικεντρώνεται σε μια συγκεκριμένη περίοδο πριν από χρόνια, πριν από την εφαρμογή του Clover το 2023, και δεν αντικατοπτρίζει τα μέτρα προστασίας που ισχύουν σήμερα.

• Η ίδια η DPC κατέγραψε στην έκθεσή της αυτό που η TikTok έχει επανειλημμένα δηλώσει: ότι δεν έχει λάβει ποτέ αίτημα από τις κινεζικές αρχές για δεδομένα ευρωπαίων χρηστών και δεν έχει παράσχει ποτέ τέτοια δεδομένα σε αυτές.

• Με 175 εκατομμύρια χρήστες σε όλη την Ευρώπη, περισσότερους από 6.000 υπαλλήλους και μια πλατφόρμα που έχει βοηθήσει τις μικρές επιχειρήσεις να συνεισφέρουν 4,8 δισεκατομμύρια ευρώ στο ΑΕΠ και να δημιουργήσουν πάνω από 51.000 θέσεις εργασίας, η TikTok είναι βαθιά ενσωματωμένη στην ευρωπαϊκή οικονομία.

• Διαφωνούμε με την απόφαση και σκοπεύουμε να ασκήσουμε έφεση.

Σήμερα, η Αρχή Προστασίας Δεδομένων της Ιρλανδίας (DPC) ανακοίνωσε την τελική της απόφαση σχετικά με την έρευνα για τη συμμόρφωση της TikTok με τις απαιτήσεις του ΓΚΠΔ για τη διαβίβαση προσωπικών δεδομένων στην Κίνα.

Η απόφαση επικεντρώνεται κυρίως σε μια συγκεκριμένη περίοδο πριν από χρόνια, πριν από την εφαρμογή του Project Clover το 2023, της πρωτοβουλίας μας για την ασφάλεια των δεδομένων ύψους 12 δισεκατομμυρίων ευρώ. Η ίδια η DPC κατέγραψε στην έκθεσή της αυτό που η TikTok έχει επανειλημμένα δηλώσει: ότι δεν έχει λάβει ποτέ αίτημα από τις κινεζικές αρχές για δεδομένα ευρωπαίων χρηστών και ότι δεν έχει παράσχει ποτέ δεδομένα ευρωπαίων χρηστών σε αυτές.

Αυτό που ισχύει είναι πως το Project Clover περιλαμβάνει κάποια από τα πιο αυστηρά μέτρα προστασίας δεδομένων στον κλάδο, συμπεριλαμβανομένης της άνευ προηγουμένου ανεξάρτητης εποπτείας από την NCC Group, μια κορυφαία ευρωπαϊκή εταιρεία στον τομέα της κυβερνοασφάλειας. Η απόφαση δεν λαμβάνει πλήρως υπόψη αυτά τα σημαντικά μέτρα ασφάλειας δεδομένων.

Με 175 εκατομμύρια χρήστες σε όλη την Ευρώπη, περισσότερους από 6.000 υπαλλήλους στην περιοχή και μια πλατφόρμα που βοήθησε τις μικρές επιχειρήσεις να συνεισφέρουν 4,8 δισεκατομμύρια ευρώ στο ΑΕΠ και να δημιουργήσουν περισσότερες από 51.000 θέσεις εργασίας, η TikTok είναι βαθιά ενσωματωμένη στην ευρωπαϊκή οικονομία. Η απόφαση αυτή έχει επιπτώσεις όχι μόνο για την TikTok, αλλά και για όλες τις εταιρείες στην Ευρώπη που δραστηριοποιούνται σε παγκόσμιο επίπεδο. Διαφωνούμε με την απόφαση αυτή και σκοπεύουμε να την προσβάλουμε στο σύνολό της.

Η TikTok έχει ακολουθήσει τους κανόνες της ΕΕ

Δεν είναι η πρώτη απόφαση της DPC σχετικά με διαβιβάσεις δεδομένων εκτός Ευρώπης. Η αρχή επέβαλε πρόστιμο-ρεκόρ ύψους 1,2 δισεκατομμυρίων ευρώ στη Meta το 2023, διατάσσοντάς την να αναστείλει τη μεταφορά δεδομένων προς τις ΗΠΑ, με το σκεπτικό ότι οι ΗΠΑ δεν παρέχουν «επαρκή» προστασία των ευρωπαϊκών δεδομένων προσωπικού χαρακτήρα.

Μόνο 15 χώρες έχουν συνάψει συμφωνίες επάρκειας δεδομένων με την ΕΕ, οι οποίες επιτρέπουν την ελεύθερη και αξιόπιστη διασυνοριακή ροή δεδομένων. Ως αποτέλεσμα, αμέτρητες εταιρείες βασίζονται στις λεγόμενες τυποποιημένες συμβατικές ρήτρες, προ-εγκεκριμένα νομικά πλαίσια για τη διεθνή ανταλλαγή δεδομένων, προκειμένου να διευκολύνουν την απομακρυσμένη πρόσβαση σε δεδομένα – που αναφέρεται ως διαβίβαση δεδομένων – σε υπαλλήλους που εδρεύουν σε χώρες που δεν έχουν αυτό το καθεστώς.

Η DPC υποστηρίζει ότι δεν πραγματοποιήσαμε τις απαραίτητες αξιολογήσεις. Διαφωνούμε έντονα με αυτό, καθώς πραγματοποιήσαμε λεπτομερείς αξιολογήσεις με τη συμβουλή εξωτερικών δικηγορικών γραφείων και εμπειρογνωμόνων.

Πέρα από την παράλειψη της DPC να εξετάσει ουσιαστικά τις εκτεταμένες διασφαλίσεις που εφαρμόστηκαν στο πλαίσιο του Project Clover, είμαστε απογοητευμένοι που αντιμετωπιστήκαμε διαφορετικά από τους υπόλοιπους, παρά το γεγονός ότι βασιζόμαστε στον ίδιο νομικό μηχανισμό που χρησιμοποιούν χιλιάδες άλλες εταιρείες που παρέχουν υπηρεσίες στην Ευρώπη. Όπως πολλές εταιρείες που δραστηριοποιούνται σε παγκόσμιο επίπεδο, η TikTok έχει χρησιμοποιήσει το ίδιο το νομικό πλαίσιο της ΕΕ, συγκεκριμένα τις τυποποιημένες συμβατικές ρήτρες, για να παραχωρήσει αυστηρά ελεγχόμενη και περιορισμένη πρόσβαση σε υπαλλήλους σε χώρες που δεν έχουν συνάψει συμφωνίες επάρκειας δεδομένων.

Η προσέγγιση αυτή είναι σύμφωνη με τους κανόνες που έχει θεσπίσει η Ευρωπαϊκή Ένωση και έχουμε πάντα διαφάνεια όσον αφορά τις πρακτικές μας. Σε αντίθεση με ορισμένες άλλες εταιρείες, εξηγούμε με σαφήνεια τους μηχανισμούς αυτούς στην πολιτική απορρήτου μας και στις επικοινωνίες μας με την ευρωπαϊκή κοινότητα, η οποία αριθμεί πλέον πάνω από 175 εκατομμύρια άτομα.

Το Project Clover παρέχει ήδη πρωτοφανή προστασία για τα δεδομένα των ευρωπαίων χρηστών

Το 2023, η TikTok ξεκίνησε την υλοποίηση του Project Clover στην Ευρώπη, μια επένδυση 12 δισεκατομμυρίων ευρώ που παρέχει απαράμιλλη προστασία για τα δεδομένα των ευρωπαίων χρηστών. Πρόσφατα ανακοινώσαμε ένα σημαντικό ορόσημο στη συνεχή δέσμευσή μας για την ασφάλεια των δεδομένων στην Ευρώπη: μια επένδυση 1 δισεκατομμυρίου ευρώ για τη δημιουργία του πρώτου μας data center στη Φινλανδία. Πολλές παγκόσμιες εταιρείες που δραστηριοποιούνται στην Ευρώπη έχουν υπαλλήλους στην Κίνα, συμπεριλαμβανομένων των ανταγωνιστών μας. Ωστόσο, καμία δεν έχει λάβει τα μέτρα που έχει λάβει η TikTok. Μέσω του Project Clover, έχουμε προχωρήσει περισσότερο από οποιονδήποτε άλλο στην αντιμετώπιση υποθετικών κινδύνων με πραγματικές, συγκεκριμένες διασφαλίσεις:

• Τα ευρωπαϊκά μέτρα ασφάλειας δεδομένων που εφαρμόζουμε στο πλαίσιο του Project Clover, συμπεριλαμβανομένων των πρωτοκόλλων απομακρυσμένης πρόσβασης και μεταφοράς δεδομένων, παρακολουθούνται, ελέγχονται και επικυρώνονται πλέον ανεξάρτητα, σε 24ωρη βάση, από την αναγνωρισμένη ευρωπαϊκή εταιρεία κυβερνοασφάλειας NCC Group, σε ένα επίπεδο ανεξάρτητης εποπτείας και διαφάνειας που δεν έχει προηγούμενο μεταξύ των διαδικτυακών πλατφορμών.

• Τα δεδομένα των ευρωπαίων χρηστών μας αποθηκεύονται πλέον εξ ορισμού σε έναν ειδικό ευρωπαϊκό χώρο αποθήκευσης δεδομένων, ο οποίος φιλοξενείται σε κέντρα δεδομένων στην Ευρώπη και τις Ηνωμένες Πολιτείες.

• Έχουμε θέσει σε εφαρμογή πρόσθετα ψηφιακά εμπόδια ασφαλείας, γνωστά ως security gateways. Αυτές οι πύλες, που παρακολουθούνται ανεξάρτητα από την NCC Group, αποτελούν μέρος ενός ολοκληρωμένου συστήματος τεχνικών πρωτοκόλλων που διασφαλίζουν ότι μόνο εγκεκριμένοι υπάλληλοι μπορούν να έχουν πρόσβαση σε συγκεκριμένους τύπους δεδομένων, περιορίζοντας περαιτέρω την εσωτερική πρόσβαση, συμπεριλαμβανομένης της πρόσβασης σε περιορισμένα δεδομένα, όπως αριθμοί τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και διευθύνσεις IP, που αποθηκεύονται στον χώρο από υπαλλήλους στην Κίνα.

• Στο πλαίσιο του Project Clover, η TikTok έχει εφαρμόσει προηγμένες τεχνολογίες ενίσχυσης της ιδιωτικότητας (PET), όπως encryption-on-access και differential privacy, για να διασφαλίσει ότι τα μη περιορισμένα δεδομένα ανωνυμοποιούνται πριν να είναι προσβάσιμα από υπαλλήλους στην Κίνα. Είναι σημαντικό ότι ανεξάρτητοι εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας της NCC Group έχουν επαληθεύσει ότι αυτά τα μέτρα ασφαλείας λειτουργούν όπως προβλέπεται.

Εάν τα εκτεταμένα μέτρα που εφαρμόζονται στο πλαίσιο του Project Clover, τα οποία αποτελούν τα πιο ισχυρά και αυστηρά μέτρα προστασίας δεδομένων στον κλάδο μας και πέραν αυτού, καθώς και η ανεξάρτητη παρακολούθηση από τρίτους από την NCC Group, κριθούν ανεπαρκή, είναι λογικό να αναρωτηθούμε: τι θα θεωρηθεί επαρκές; Είναι λυπηρό το γεγονός ότι η DPC δεν φαίνεται να έχει δώσει στην ολοκληρωμένη αυτή προστασία τη ουσιαστική προσοχή που της αξίζει.

Εκτεταμένες επιπτώσεις

Η απόφαση αυτή ενέχει τον κίνδυνο να δημιουργήσει ένα προηγούμενο με ευρείες συνέπειες για τις εταιρείες και ολόκληρους κλάδους σε ολόκληρη την Ευρώπη που δραστηριοποιούνται σε παγκόσμια κλίμακα. Αποτελεί πλήγμα για την ανταγωνιστικότητα της Ευρωπαϊκής Ένωσης. Μέσω του Project Clover, μιας οικειοθελούς πρωτοβουλίας πολλών δισεκατομμυρίων ευρώ, η TikTok έχει εφαρμόσει μια ολοκληρωμένη λύση που προσφέρει απαράμιλλη προστασία των δεδομένων και της ιδιωτικής ζωής των ευρωπαίων χρηστών, διασφαλίζοντας παράλληλα τη ροή δεδομένων σε παγκόσμιο επίπεδο και υποστηρίζοντας τη συνεχή καινοτομία.

Σε μια εποχή που οι ευρωπαϊκές επιχειρήσεις και οικονομίες χρειάζονται καινοτομία, ανάπτυξη και θέσεις εργασίας, πιστεύουμε ότι η ΕΕ πρέπει να καλωσορίσει και να υποστηρίξει λύσεις όπως το Project Clover, ως μέσο για τη διευκόλυνση της ασφαλούς ροής δεδομένων μεταξύ της ΕΕ και των χωρών που δεν διαθέτουν επαρκή προστασία, διασφαλίζοντας παράλληλα την πιο ισχυρή προστασία της ασφάλειας και της ιδιωτικής ζωής των δεδομένων στην Ευρώπη.