TikTok dostal rekordní pokutu €530 milionů — přenosy dat do Číny pod lupou
Největší pokuta roku 2025
V dubnu 2025 udělil irský dozorový úřad (DPC) společnosti TikTok pokutu ve výši €530 milionů za porušení pravidel GDPR pro mezinárodní přenosy osobních údajů. Je to nejvyšší jednotlivá pokuta roku 2025 a první velký případ enforcement týkající se přenosů dat do Číny.
DPC rozhodl, že TikTok nelegálně přenášel osobní údaje evropských uživatelů na servery v Číně, aniž by zajistil odpovídající úroveň ochrany. Čína není zemí s rozhodnutím o odpovídající úrovni ochrany (adequacy decision) — a TikTok neprokázal, že použité záruky splňují požadavky GDPR.
Kontext: přenosy dat do třetích zemí
Po zrušení Privacy Shield (Schrems II, 2020) musí firmy přenášející data mimo EU/EEA používat standardní smluvní doložky (SCC), závazná podniková pravidla (BCR) nebo jiné záruky. A musí provést posouzení dopadů přenosu (Transfer Impact Assessment), které prokáže, že cílová země poskytuje srovnatelnou úroveň ochrany.
Pro Čínu je toto posouzení obzvlášť problematické. Čínské zákony o kybernetické bezpečnosti a národní bezpečnosti umožňují státním orgánům přístup k datům bez soudního příkazu — což je v přímém rozporu s požadavky GDPR na ochranu před hromadným sledováním.
Proč to není jen problém TikToku
Pokuta TikToku je precedent, ale problém přenosů dat se týká každé firmy, která používá:
- Analytické nástroje se servery mimo EU (některé verze Google Analytics, Meta Pixel)
- Cloudové služby s datovými centry v třetích zemích
- SaaS platformy zpracovávající data na serverech mimo EEA
- CDN a reklamní sítě přenášející uživatelská data do USA nebo Asie
Celkový objem pokut v roce 2025
TikTok nebyl jediný. Rok 2025 přinesl pokuty v celkovém objemu přibližně €1,2 miliardy:
| Firma | Pokuta | Důvod |
|---|---|---|
| TikTok | €530 mil. | Přenosy dat do Číny |
| Meta | €479 mil. | Nelegální zpracování uživatelských dat |
| €200 mil. | Reklamy v Gmailu bez souhlasu | |
| SHEIN | €150 mil. | Cookies bez platného souhlasu |
Francie vedla v celkovém objemu pokut (€486,8 mil.), následovaná Španělskem (€45,2 mil.) a Itálií (€15 mil.).
Poučení pro české firmy
I malé a střední firmy přenášejí data do třetích zemí — často nevědomky. Google Analytics, Facebook Pixel, Hotjar, Intercom — každý z těchto nástrojů může představovat přenos dat mimo EU.
Co zkontrolovat:
- Kde se zpracovávají vaše data? Zjistěte, kam vaše nástroje třetích stran odesílají uživatelská data.
- Máte platné SCC? Standardní smluvní doložky musí být aktuální verze (2021) a doplněné o Transfer Impact Assessment.
- Je souhlas správně nastaven? Pokud používáte nástroje, které přenášejí data do třetích zemí, uživatel musí být informován a musí udělit specifický souhlas.
Jak Waulter pomáhá
Waulter CMP automaticky skenuje weby a identifikuje externí služby a skripty — včetně těch, které přenášejí data mimo EU. Crawler analyzuje síťový provoz (HAR soubory) a detekuje, kam data tečou. Výsledkem je přehledný report, který ukazuje:
- Jaké třetí strany na vašem webu sbírají data
- Do jakých zemí data odcházejí
- Zda jsou tyto přenosy kryté souhlasem
To je základ pro Transfer Impact Assessment i pro nastavení granulárních scénářů souhlasu.
Zdroje: DPC rozhodnutí TikTok (duben 2025), CNIL rozhodnutí Google/SHEIN (2025), TechCentral.ie — přehled GDPR pokut 2025