Gearrann Coimisiún na hÉireann um Chosaint Sonraí fíneáil €530 milliún ar TikTok agus ordaíonn sé bearta ceartaitheacha tar éis Fiosrúchán ar aistrithe Sonraí de chuid Úsáideoirí sa Limistéar
02nd Mí Bealtaine 2025
D’fhógair Coimisiún na hÉireann um Chosaint Sonraí (an Coimisiún) inniu an cinneadh críochnaitheach uaidh tar éis Fiosrúchán ar TikTok Technology Limited (“TikTok”). Sheol an Coimisiún an Fiosrúchán sin ina ról mar Phríomhúdarás Maoirseachta do TikTok, chun scrúdú a dhéanamh ar dhlíthiúlacht na n-aistrithe a rinne TikTok ar shonraí pearsanta [1] de chuid úsáideoirí ardán TikTok in LEE chuig Daon-Phoblacht na Síne (“an tSín”). De bhreis air sin, scrúdaíodh san Fhiosrúchán cé acu is amhlaidh nó nach amhlaidh, maidir leis an soláthar faisnéise d’úsáideoirí maidir le haistrithe den sórt sin, a chomhlíon sé ceanglais trédhearcachta TikTok mar a cheanglaítear leis an Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS).
Maidir leis an gcinneadh, rud a rinne an Dr Des Hogan agus an tUas. Dale Sunderland, na Coimisinéirí um Chosaint Sonraí, agus ar tugadh fógra do TikTok faoi an 1 Bealtaine 2025, cinneadh ann gur sháraigh TikTok RGCS maidir leis na haistrithe a rinne sé chuig an tSín [2] ar Shonraí de chuid Úsáideoirí in LEE agus maidir lena cheanglais trédhearcachta [3]. Áirítear leis an gcinneadh fíneálacha riaracháin is ionann agus €530 milliún san iomlán agus ordú lena gceanglaítear ar TikTok a phróiseáil a chur i gcomhréir leis an reachtaíocht laistigh de shé mhí. Áirítear leis an gcinneadh freisin ordú lena gcuirfear aistrithe TikTok chuig an tSín ar fionraí mura gcuirtear an phróiseáil i gcomhréir laistigh den tréimhse ama sin.
Dúirt Graham Doyle, Leas-Choimisinéir an Choimisiúin:
“Ceanglaítear le RGCS go leanfar leis an ardleibhéal cosanta a thugtar laistigh den Aontas Eorpach i gcás go n-aistreofar sonraí pearsanta chuig tíortha eile.
Sháraigh na haistrithe chuig an tSín a rinne TikTok ar shonraí pearsanta RGCS toisc gur mhainnigh TikTok a fhíorú, a ráthú agus a thaispeáint gur tugadh do shonraí pearsanta na n-úsáideoirí sa Limistéar Eorpach Eacnamaíoch, ar shonraí iad a bhfuair baill foirne sa tSín cianrochtain orthu, leibhéal cosanta a bhí coibhéiseach go bunúsach leis an leibhéal cosanta sin a ráthaítear laistigh den Aontas Eorpach.
Mar thoradh ar an mainneachtain ag TikTok tabhairt faoi na measúnuithe riachtanacha, níor thug TikTok aghaidh ar an rochtain a d’fhéadfadh a bheith ag údaráis Shíneacha ar shonraí pearsanta ón Limistéar Eorpach Eacnamaíoch faoi dhlíthe na Síne um sceimhlitheoireacht a chosc agus um spiaireacht a chomhrac agus faoi dhlíthe eile de chuid na Síne a shainaithin TikTok a bheith ina ndlíthe atá difriúil go hábhartha le caighdeáin an Aontais Eorpaigh.”
Chuir an Coimisiún dréachtchinneadh faoi bhráid shásra comhair RGCS an 21 Feabhra 2025, mar a cheanglaítear faoi Airteagal 60 RGCS. Ní dhearnadh aon agóidí in aghaidh an dréachtchinnidh ón gCoimisiún. Tá an Coimisiún buíoch as an gcomhar agus an cúnamh a fuarthas óna phiarúdaráis mhaoirseachta AE/LEE sa chás seo.
Cuireadh faisnéis earráideach faoi bhráid an Fhiosrúcháin
Ar fud an Fhiosrúcháin, chuir TikTok in iúl don Choimisiún nár stóráil sé Sonraí de chuid Úsáideoirí in LEE ar fhreastalaithe atá lonnaithe sa tSín. I mí Aibreáin 2025, áfach, chuir TikTok an Coimisiún ar an eolas faoi shaincheist a d’aimsigh sé i mí Feabhra 2025 inarbh amhlaidh dáiríre a stóráladh Sonraí teoranta de chuid Úsáideoirí in LEE ar fhreastalaithe sa tSín, contrártha don fhianaise a thug TikTok don Fhiosrúchán. Chuir TikTok in iúl don Choimisiún gur fhág sé sin gur sholáthair TikTok faisnéis mhíchruinn don Fhiosrúchán.
Dúirt an Leas-Choimisinéir Doyle:
“Tá an Coimisiún ag tabhairt an-aird ar na forbairtí le déanaí sin maidir le stóráil na Sonraí de chuid Úsáideoirí sa Limistéar Eorpach Eacnamaíoch ar fhreastalaithe sa tSín. Cé gur chuir TikTok in iúl don Choimisiún go bhfuil na sonraí scriosta anois, tá breithniú á dhéanamh againn, i gcomhairle lenár bpiar-Údaráis Cosanta Sonraí san Aontas Eorpach, ar cén ghníomhaíocht rialála breise a bhféadfadh go mbeadh údar léi.”
Foilseoidh an Coimisiún an cinneadh iomlán agus faisnéis ghaolmhar eile in am trátha.
[1] An Dlí maidir le hAistrithe Sonraí lasmuigh den Aontas Eorpach (AE)
Le RGCS, tugtar ardleibhéal cosanta do shonraí pearsanta ar fud LEE agus tugtar cearta cosanta sonraí do dhaoine aonair. Nuair a aistrítear sonraí pearsanta lasmuigh de LEE, is féidir leis sin bac a chur ar an gcumas atá ag daoine aonair chun cearta a fheidhmiú agus is féidir leis dul timpeall ar an ardleibhéal cosanta sin. Dá bhrí sin, tá sé ríthábhachtach nach mbainfí an bonn den leibhéal cosanta a áirithítear le RGCS i gcás na n-aistrithe sin. Dá réir sin, ní fhéadfar aistrithe sonraí pearsanta a dhéanamh ach amháin má chomhlíontar na coinníollacha a leagtar síos i gCaibidil V RGCS. Cinntítear leis sin go leanfar leis an ardleibhéal cosanta a thugtar laistigh den Aontas Eorpach i gcás go n-aistreofar sonraí pearsanta chuig tríú tír.
Foráiltear le hAirteagal 45(1) RGCS go bhféadfar aistriú sonraí pearsanta chuig tríú tír a údarú le cinneadh ón gCoimisiún Eorpach a mbeidh d’éifeacht leis go n-áiritheoidh an tríú tír, críoch nó ceann amháin nó níos mó d’earnálacha sonraithe laistigh den tríú tír sin leibhéal leordhóthanach cosanta (“Cinneadh Leordhóthanachta”).
Go dtí seo, rinne an Coimisiún Eorpach Cinntí Leordhóthanachta maidir leis na tíortha seo a leanas: Andóra, an Airgintín, Ceanada, Oileáin Fharó, Geansaí, Iosrael, Oileán Mhanann, an tSeapáin, Geirsí, an Nua-Shéalainn, Poblacht na Cóiré, an Eilvéis, an Ríocht Aontaithe, SAM agus Uragua.
Is amhlaidh faoi RGCS, i gcás go mbeidh sé beartaithe ag eagraíocht (“Rialaitheoir Sonraí”) sonraí pearsanta a aistriú lasmuigh d’AE/de LEE chuig tríú tír agus nach mbeidh aon Chinneadh Leordhóthanachta ann idir AE agus an tríú tír sin, nach bhféadfar aistrithe den sórt sin a dhéanamh ach amháin má chomhlíontar forálacha infheidhme eile de RGCS (Caibidil V), amhail Clásail Chonarthacha Chaighdeánacha. Leis na forálacha sin, cuirtear an fhreagracht ar an eagraíocht a fhíorú, a ráthú agus a thaispeáint go ráthaítear le dlí agus cleachtais na tíre sin leibhéal cosanta atá coibhéiseach go bunúsach leis an leibhéal cosanta sin a ráthaítear laistigh d’AE.
[2] Na Fionnachtana ón gCoimisiún maidir le dlíthiúlacht na nAistrithe
San Fhiosrúchán seo, ceanglaíodh ar TikTok Ireland a mheasúnú ar ráthaíodh le dlí na Síne leibhéal cosanta a bhí coibhéiseach go bunúsach leis an leibhéal cosanta a ráthaítear le dlí AE nó nár ráthaíodh. Cinntear sa Chinneadh gur sháraigh na haistrithe a rinne TikTok chuig an tSín Airteagal 46(1) RGCS toisc gur mhainnigh sé a fhíorú, a ráthú agus a thaispeáint gurbh éifeachtach a bhí na bearta forlíontacha agus na Clásail Chonarthacha Chaighdeánacha chun a áirithiú gur tugadh do shonraí pearsanta na n-úsáideoirí in LEE leibhéal cosanta a bhí coibhéiseach go bunúsach leis an leibhéal cosanta sin a ráthaítear laistigh d’AE. Sa mheasúnú a rinne TikTok é féin ar dhlí na Síne, rud a tugadh don Choimisiún le linn an Fhiosrúcháin, leagadh amach conas a fhágann gnéithe de chreat dlíthiúil na Síne nach féidir a chinneadh go bhfuil sé coibhéiseach go bunúsach le dlí AE. Thug an Coimisiún aird ar an measúnú sin agus ar na dlíthe de chuid na Síne a shainaithin TikTok a bheith difriúil go hábhartha le caighdeáin AE, amhail an Dlí um Sceimhlitheoireacht a Chosc, an Dlí um Spiaireacht a Chomhrac, an Dlí Cibearshlándála agus an Dlí Faisnéise Náisiúnta. Go háirithe, chinn an Coimisiún gurbh amhlaidh, maidir leis an mainneachtain ag TikTok measúnú leordhóthanach a dhéanamh ar an leibhéal cosanta a thugtar le dlí agus cleachtais na Síne do na sonraí pearsanta de chuid úsáideoirí in LEE is ábhar d’aistrithe, i gcás go bpróiseálfar na sonraí pearsanta sin sa tSín, nach é amháin a rinne sí difear díreach don chumas a bhí ag TikTok chun coimircí iomchuí agus bearta forlíontacha a roghnú, ach chuir sí cosc ar TikTok freisin leibhéal cosanta a bhí coibhéiseach go bunúsach a fhíorú agus a ráthú.
Agus cumhachtaí ceartaitheacha á bhfeidhmiú aige, bhreithnigh an Coimisiún freisin na hathruithe leanúnacha a bhí á ndéanamh ag TikTok faoi “Project Clover”. D’ainneoin na n-athruithe sin, chinn an Coimisiún go bhfuil sé cuí, riachtanach agus comhréireach a ordú go gcuirfí na hAistrithe Sonraí ar fionraí agus a ordú do TikTok a oibríochtaí próiseála a chur i gcomhréir le Caibidil V RGCS tar éis tréimhse sé mhí ón tréimhse atá ceadaithe le haghaidh achomharc a dhéanamh in aghaidh an chinnidh chríochnaithigh ón gCoimisiún. Measann an Coimisiún gur tréimhse réasúnach atá le tabhairt do TikTok chun deireadh a chur leis na haistrithe sna himthosca í tréimhse sé mhí.
[3] Na Fionnachtana ón gCoimisiún maidir le Trédhearcacht
Ceanglaítear le hAirteagal 13(1)(f) RGCS ar rialaitheoirí sonraí faisnéis a thabhairt d’ábhair sonraí faoi na haistrithe a dhéanann an rialaitheoir sin ar shonraí pearsanta chuig tríú tír. Bhreithnigh an Coimisiún an Beartas Príobháideachta maidir leis an Limistéar Eorpach Eacnamaíoch a d’fhoilsigh TikTok i mí Dheireadh Fómhair 2021 agus chinn sé go raibh an beartas sin neamh-leordhóthanach ar dhá phríomhbhealach chun críocha Airteagal 13(1)(f) RGCS.
Ar an gcéad dul síos, níor ainmníodh i mBeartas Príobháideachta na bliana 2021 ó TikTok na tríú tíortha, an tSín san áireamh, ar aistríodh sonraí pearsanta chucu. Ar an dara dul síos, níor míníodh i mBeartas Príobháideachta na bliana 2021 cineál na n-oibríochtaí próiseála atá i gceist leis an aistriú. Rud sonrach, níor sonraíodh i mBeartas Príobháideachta na bliana 2021 gur áiríodh leis an bpróiseáil an chianrochtain a bhí ag pearsanra atá lonnaithe sa tSín ar shonraí pearsanta a stóráiltear i Singeapór agus sna Stáit Aontaithe.
Nuashonraigh TikTok a Bheartas Príobháideachta le linn an Fhiosrúcháin agus thug sé don Choimisiún an Beartas Príobháideachta maidir leis an Limistéar Eorpach Eacnamaíoch a d’fhoilsigh sé i mí na Nollag 2022. Is amhlaidh a sonraíodh sa Bheartas Príobháideachta sin na tríú tíortha ar aistríodh sonraí de chuid úsáideoirí in LEE chucu. Cuireadh in iúl d’Úsáideoirí in LEE sa Bheartas Príobháideachta sin freisin gur stóráladh sonraí pearsanta ar fhreastalaithe sna Stáit Aontaithe agus i Singeapór agus go raibh cianrochtain orthu sin ag eintitis i ngrúpa corparáideach TikTok atá lonnaithe sa Bhrasaíl, sa tSín, sa Mhalaeisia, sna hOileáin Fhilipíneacha, i Singeapór agus sna Stáit Aontaithe.
Mheas an Coimisiún an Beartas Príobháideachta maidir leis an Limistéar Eorpach Eacnamaíoch a d’fhoilsigh TikTok i mí na Nollag 2022 a bheith ina bheartas a chomhlíonann ceanglais Airteagal 13(1)(f) RGCS maidir leis na hAistrithe Sonraí atá faoi réir raon feidhme ábhartha an Chinnidh. Dá bhrí sin, baineann fad an tsáraithe ar Airteagal 13(1)(f) RGCS sa Chinneadh leis an tréimhse ón 29 Iúil 2020 go dtí an 1 Nollaig 2022.
Forchuireann an Coimisiún fíneálacha riaracháin is ionann agus €530 milliún san iomlán sa Chinneadh sin, agus iad comhdhéanta d’fhíneáil €45 mhilliún as an sárú a rinne TikTok ar Airteagal 13(1)(f) RGCS agus d’fhíneáil €485 mhilliún as an sárú a rinne TikTok ar Airteagal 46(1) RGCS.