Zpět na novinky

TikTok dostal rekordní pokutu €530 milionů — přenosy dat do Číny pod lupou

· Waulter tým
TikTok GDPR pokuty přenosy dat Čína DPC třetí země

Největší pokuta roku 2025

V dubnu 2025 udělil irský dozorový úřad (DPC) společnosti TikTok pokutu ve výši €530 milionů za porušení pravidel GDPR pro mezinárodní přenosy osobních údajů. Je to nejvyšší jednotlivá pokuta roku 2025 a první velký případ enforcement týkající se přenosů dat do Číny.

DPC rozhodl, že TikTok nelegálně přenášel osobní údaje evropských uživatelů na servery v Číně, aniž by zajistil odpovídající úroveň ochrany. Čína není zemí s rozhodnutím o odpovídající úrovni ochrany (adequacy decision) — a TikTok neprokázal, že použité záruky splňují požadavky GDPR.

Kontext: přenosy dat do třetích zemí

Po zrušení Privacy Shield (Schrems II, 2020) musí firmy přenášející data mimo EU/EEA používat standardní smluvní doložky (SCC), závazná podniková pravidla (BCR) nebo jiné záruky. A musí provést posouzení dopadů přenosu (Transfer Impact Assessment), které prokáže, že cílová země poskytuje srovnatelnou úroveň ochrany.

Pro Čínu je toto posouzení obzvlášť problematické. Čínské zákony o kybernetické bezpečnosti a národní bezpečnosti umožňují státním orgánům přístup k datům bez soudního příkazu — což je v přímém rozporu s požadavky GDPR na ochranu před hromadným sledováním.

Proč to není jen problém TikToku

Pokuta TikToku je precedent, ale problém přenosů dat se týká každé firmy, která používá:

  • Analytické nástroje se servery mimo EU (některé verze Google Analytics, Meta Pixel)
  • Cloudové služby s datovými centry v třetích zemích
  • SaaS platformy zpracovávající data na serverech mimo EEA
  • CDN a reklamní sítě přenášející uživatelská data do USA nebo Asie

Celkový objem pokut v roce 2025

TikTok nebyl jediný. Rok 2025 přinesl pokuty v celkovém objemu přibližně €1,2 miliardy:

Firma Pokuta Důvod
TikTok€530 mil.Přenosy dat do Číny
Meta€479 mil.Nelegální zpracování uživatelských dat
Google€200 mil.Reklamy v Gmailu bez souhlasu
SHEIN€150 mil.Cookies bez platného souhlasu

Francie vedla v celkovém objemu pokut (€486,8 mil.), následovaná Španělskem (€45,2 mil.) a Itálií (€15 mil.).

Poučení pro české firmy

I malé a střední firmy přenášejí data do třetích zemí — často nevědomky. Google Analytics, Facebook Pixel, Hotjar, Intercom — každý z těchto nástrojů může představovat přenos dat mimo EU.

Co zkontrolovat:

  1. Kde se zpracovávají vaše data? Zjistěte, kam vaše nástroje třetích stran odesílají uživatelská data.
  2. Máte platné SCC? Standardní smluvní doložky musí být aktuální verze (2021) a doplněné o Transfer Impact Assessment.
  3. Je souhlas správně nastaven? Pokud používáte nástroje, které přenášejí data do třetích zemí, uživatel musí být informován a musí udělit specifický souhlas.

Jak Waulter pomáhá

Waulter CMP automaticky skenuje weby a identifikuje externí služby a skripty — včetně těch, které přenášejí data mimo EU. Crawler analyzuje síťový provoz (HAR soubory) a detekuje, kam data tečou. Výsledkem je přehledný report, který ukazuje:

  • Jaké třetí strany na vašem webu sbírají data
  • Do jakých zemí data odcházejí
  • Zda jsou tyto přenosy kryté souhlasem

To je základ pro Transfer Impact Assessment i pro nastavení granulárních scénářů souhlasu.


Zdroje: DPC rozhodnutí TikTok (duben 2025), CNIL rozhodnutí Google/SHEIN (2025), TechCentral.ie — přehled GDPR pokut 2025

Chcete mít souhlasy pod kontrolou?

Waulter CMP vám pomůže se správou souhlasů, GDPR compliance a optimalizací cookie lišty.