Det irske datatilsyn har, med udgangspunkt i en beslutning fra Det Europæiske Databeskyttelsesråd (EDPB), truffet endelig afgørelse imod TikTok. På baggrund af afgørelsen har virksomheden fået kritik, et påbud samt en bøde på 2,6 mia. kroner.
Det irske datatilsyns endelige afgørelse lagde bl.a. vægt på at TikTok havde brudt princippet om rimelighed i GDPR i forbindelse med behandling af personoplysninger om børn i alderen 13-17 år. Princippet om rimelighed kræver, at virksomheders behandling af personoplysninger sker på en måde som er i bedste interesse for de personer, hvis data bliver behandlet. Den indsamlede data skal desuden kunne overskues af personen. EDPB havde desuden udtrykt alvorlig tvivl om effektiviteten af TikToks aldersverifikation. Det irske datatilsyn fandt også at TikToks ’public by default’ indstillinger var i strid med principperne om databeskyttelse gennem design og standardindstillinger, gennemsigtighed og dataminimering, altså at der kun bevares de oplysninger, som er nødvendige.