İrlanda Veri Koruma Kurumu (DPC), TikTok’un Avrupa Ekonomik Alanı (EEA) kullanıcı verilerini Çin’e aktarma biçiminin GDPR’ı ihlal ettiğine hükmederek şirkete 530 milyon euro tutarında idari para cezası verdi. TikTok, kullanıcı verilerinin fiziksel olarak Avrupa’daki veri merkezlerinde (İrlanda ve Norveç) tutulduğunu, Çin’deki çalışanların yalnızca sınırlı ve denetimli biçimde uzaktan erişim sağladığını savundu. Şirket bu nedenle verilerin Çin yasaları kapsamına girmediğini öne sürdü.
Ancak DPC bu savunmayı kabul etmedi. Kuruma göre, verinin fiziksel konumu ne olursa olsun, uzaktan erişim bir veri işleme faaliyeti oluşturur ve dolayısıyla veri aktarımı olarak değerlendirilmelidir. Kararda bu husus açıkça şu ifadeyle vurgulandı:
“Veriye uzaktan erişim, verinin fiziksel konumu ne olursa olsun işleme anlamına gelir.”
TikTok, soruşturma sürecinde bir dizi teknik ve organizasyonel önlem uyguladığını belirtti. Bunlar arasında “en az ayrıcalık” prensibine dayalı erişim kontrolleri, Çin personeline verilen erişim yetkilerinin otomatik olarak iptali, hem erişim hem de depolama sırasında şifreleme yöntemlerinin kullanılması, şifre anahtarlarının Avrupa dışında tutulması ve Çin personeli için veri kaybı önleme (DLP) araçlarının devreye alınması yer alıyordu. Ayrıca TikTok, güncel Standart Sözleşme Maddeleri (SCCs) çerçevesinde işlem yaptığını ve hukuki talepleri yönetmek üzere özel bir Law Enforcement Response Team (LERT) kurduğunu bildirdi.
Şirketin hukuki argümanı, Çin yasalarının yalnızca ülke sınırları içinde geçerli olduğu (“territoriality principle”) ve bu nedenle Avrupa’daki verilerin Çin mevzuatına tabi olmadığı yönündeydi. Fakat DPC, bu yaklaşımı yetersiz buldu. Kurum, TikTok’un Çin’e yönelik veri aktarımının GDPR Madde 46(1) kapsamında gerekli koruma seviyesini sağlamadığını, ayrıca kullanıcıların “uzaktan erişim” imkânı konusunda yeterince bilgilendirilmediğini belirleyerek Madde 13(1)(f) ihlali tespit etti.
DPC, TikTok’un şifreleme tedbirlerinin de “etkili” kabul edilemeyeceğini ifade etti; zira Çin’deki çalışanlar veriye “açık” biçimde erişebiliyor ve bu erişim, devlet müdahalesi riskine karşı koruma sağlamıyordu. Ayrıca, TikTok’un sunduğu Transfer Impact Assessment (TIA) belgesinin Çin yasalarının olası etkilerini yeterli şekilde analiz etmediği sonucuna varıldı.
Bu gerekçelerle DPC, şirkete 530 milyon euroluk para cezasının yanı sıra, veri transfer süreçlerini altı ay içinde GDPR’a uyumlu hale getirme emri verdi.
Yorumum
Bu karar, uluslararası veri aktarımı kavramını kökten yeniden tanımlıyor. DPC’nin yaklaşımı, “veri Avrupa’da kalıyor” söyleminin artık hukuken geçerli bir savunma olmadığını açık biçimde gösteriyor. TikTok örneği, şifreleme veya sözleşmesel güvencelerin (SCC) tek başına yeterli olmadığını, veri aktarımında asıl belirleyici unsurun erişim yetkisi ve üçüncü ülke hukukunun etkisi olduğunu ortaya koyuyor.
Bugün için mesaj açık: Konum değil, erişim belirleyici.