В Ирландия ще продължат да обсъждат как техническите иновации влияят върху трансфера на лични данни
В решение, публикувано в четвъртък (11 юни 2026 г.), Върховният съд на Ирландия (High Court) отхвърли жалбата на TikTok, че Ирландската комисия за защита на данните (DPC) е приложила погрешно правилата на ЕС, уреждащи международния трансфер на данни.
Магистратите потвърдиха констатациите, че платформата, собственост на китайската компания ByteDance, е нарушила Общия регламент за защита на данните (GDPR) чрез изпращане на лична информация на европейски потребители към Китай без нужните гаранции. Въпреки това съдът допусна възможността TikTok временно да продължи трансфера, като разпореди на ирландския регулатор да преразгледа наложената забрана за трансфер на данни, вземайки предвид въведените от компанията допълнителни мерки за киберсигурност.
Съдът категорично заявява, че администраторите на данни са длъжни изрично да докажат и верифицират, че личните данни са защитени на ниво, еквивалентно на това в ЕС, когато се прехвърлят към трети страни.
Писала съм на 3.05.2025 г. по темата: DPC глоби TikTok с 530 милиона евро заради прехвърляне на потребителски данни към Китай,
45 милиона евро са заради нарушение на член 13, пар. 1, б. „е“ от GDPR и 485 милиона евро са за нарушение на член 46, пар. 1 от GDPR
TikTok изгражда защитата си главно около следните доводи: Принципът на териториалност (The Territoriality Principle): Компанията твърди, че данните на европейските потребители се съхраняват физически извън Китай (в Сингапур и САЩ). Според тяхното тълкуване на китайското право, местните власти нямат юрисдикция и правна сила да изискват достъп до данни, намиращи се извън китайска територия, дори ако служители в Китай имат отдалечен достъп до тях.
TikTok смята и че DPC е изтълкувала погрешно ангажиментите по GDPR (в частност след знаковото дело Schrems II). TikTok поддържа тезата, че регулаторът сам е трябвало да разследва и докаже по безспорен начин, че китайските закони реално нарушават сигурността, а не да изисква от TikTok да доказва „негативен факт“.
Ефективност на защитните мерки (Проект „Детелина“ / Project Clover): Платформата твърди, че е въвела строг „модел за отдалечен достъп“ (remote access solution), криптиране и допълнителни технически слоеве (Project Clover), които напълно неутрализират риска от неправомерен държавен достъп в Китай.
Процедурни нарушения: TikTok оспорва начина на провеждане на разследването, като твърди, че DPC е нарушила правото на справедлива процедура, променила е времевия обхват на проверката без предизвестие и не е оценила адекватно представените експертни доказателства за китайското законодателство.
Съдът потвърди основните заключения на DPC за извършени нарушения на GDPR поради следните съображения: Погрешно дефиниране на „съхранение“ и реален риск при обработката: Съдът посочва, че дори данните да са на сървъри в САЩ и Сингапур, те се обработват в plain text на устройствата на служителите в Китай. Според съда, служителите и субектите в Китай попадат под обсега на местните закони за сигурност (като Закона за националното разузнаване и Антитерористичния закон). Властите в Пекин могат да принудят тези служители да предоставят достъп до екраните или сесиите си, което обезсмисля факта, че сървърът е в чужбина.
Тежестта на доказателството е изцяло върху компанията (Accountability): Съдът категорично отхвърли аргумента, че DPC трябва да доказва нарушенията. Съгласно принципа за отчетност в GDPR (Член 5(2) и Член 24), администраторът на данни (TikTok) е длъжен да провери, гарантира и докаже, че наложените мерки осигуряват ниво на защита, съответстващо на стандарта в ЕС. TikTok не е успял да демонстрира как точно неговите договори и правила биха спрели китайското разузнаване, чиито правомощия по закон имат екстратериториален характер.
Криптирането и договорите са неефективни срещу държавен натиск: Договорните клаузи (SCCs) не обвързват публичните органи в трети страни (Китай). Съдът се съгласи с DPC, че мерките за криптиране не помагат, тъй като трансферите към Китай са системни, мащабни и се четат в plain text с цел поддръжка и софтуерно инженерство.
Project Clover е извън обхвата на разследвания период: По отношение на иновативния проект за сигурност „Детелина“, съдът отбеляза, че липсват доказателства той да е бил реално внедрен и работещ в рамките на разследвания от DPC период (юли 2020 г. – май 2023 г.). Затова DPC не е сгрешила, като не го е взела предвид при установяване на миналите нарушения.
Съдът остави въпроса за точното преизчисляване на размера на самата глоба от 530 млн. евро за второ последващо решение.
Страните са изразили съгласие, че някои правни въпроси относно изчисляването на финансовата санкция изискват тълкуване от Съда на Европейския съюз (СЕС/CJEU).
Дотогава плащането на глобата от 530 милиона евро остава автоматично спряно по силата на закона.
Въпреки че съдът потвърди нарушенията за минал период, той нареди на ирландския регулатор да преразгледа обхвата на своите „корективни заповеди“ (заповедта за спиране на трансфера на данни и заповедта за привеждане в съответствие): DPC трябва да направи нова оценка, като този път задължително вземе предвид Project Clover.
Регулаторът ще трябва да анализира дали новите технически и киберзащитни слоеве, които TikTok внедри след разследвания период, вече са достатъчни, за да защитят данните от китайските власти.
TikTok няма да спре веднага отдалечения достъп на служителите си в Китай до европейски данни.
Приложението ще продължи да функционира нормално за европейските потребители, докато DPC извършва новото преразглеждане и докато съдът не излезе с финално разпореждане.