anonym.legal

By · Last updated 2026-06-05

Terug na BlogGDPR & Nakoming

Ierse DPC: 80% van EU GDPR-Megaboetes

€530M TikTok, €310M LinkedIn, €251M Meta -- almal van Ierland se DPC. Hier is waarom Ierland Groottegnologie se EU-hoofkwartiere huisves en wat DPC-toepassing vir SaaS beteken.

June 5, 20268 min lees
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Waarom Ierland EU-Toepassing Lei

Die Ierse Data Protection Commission (DPC) is die leidende owerhede vir die meeste groot EU-tegnologiemaatskappye. Dit is nie 'n toeval nie.

Ierland se lae belastingkoers het Apple, Google, Meta, LinkedIn en TikTok getrek. Hulle het almal hul hoof EU-kantore daar gestig.

GDPR Artikel 60 maak die DPC die leidende owerhede vir hierdie firmas. Drie dinge volg uit hierdie reel.

Eerste, 'n klagte in Duitsland oor Facebook gaan na die Ierse DPC, nie die Duitse BfDI nie. Tweede, die DPC werk saam met ander EU-liggame oor grensoverschrijdende sake. Derde, 'n DPC-uitspraak teen Meta geld oor die hele EU.

Die resultaat is duidelik. Die DPC het meer boete-waarde uitgereik as alle ander EU-liggame saam. Sien ons GDPR-nakomingsoorsig oor hoe dit verkopersbesluite vorm.

Drie Boetes Wat 2024-2025 Definieer

€530M teen TikTok (Mei 2025): Chinese ingenieurs het toegang tot EU-gebruikerrekords gehad. Dit het GDPR Artikels 44-46 verbreek. Daai reels beperk oordragte na lande sonder 'n EU-toereikendheidsuitspraak. China het geen nie. TikTok het beweer dit het voldoende kontroles gehad. Die DPC het gese dit het nie.

€310M teen LinkedIn (Oktober 2024): LinkedIn het op "legitieme belang" staatgemaak vir gedragsanalise. Die DPC het dit ongeldig bevind. Die verwerking was nie nodig vir die verklaarde doel nie. Die balanstoets het nie ten gunste van LinkedIn geval nie.

€251M teen Meta (November 2024): Die 2018-Facebook-skending is nie betyds aan die DPC aangemeld nie. Die DPC het ook bevind dat swak ouditlogboeke dit onmoontlik gemaak het om te meet wat blootgestel was.

Hierdie drie het by die vroeere €1.2B Meta-boete van Mei 2023 aangesluit. Daai boete het ook van die DPC gekom, vir onwettige EU-VS-oordragte. Dit bly die grootste GDPR-straf ooit uitgereik.

Die DPC het meer as 8 500 grensoverschrijdende sake in 2024 hanteer. Blaai ons sekuriteits- en nakomingsbladsy deur om te sien hoe nulkennis-ontwerp elke mislukking aanspreek.

Wat Elke Boete Openbaar

Grensoverschrijdende Toegangsmodiukasies

Al drie boetes deel een kernkwessie. Persoonlike rekords was oop vir personeel in lande sonder EU-vlak privaatheidsreels.

TikTok se boete was direk. EU-gebruikerleers het Chinese ingenieurs bereik ten spyte van verklaarde kontroles.

Wat dit beteken vir verkopers-keuse: Vra of nie-EU-personeel toegang tot EU-gebruikerrekords in normale werk kan kry. 'n Verskaffer kan in Dublin aanbied maar steeds EU-leers blootstel via VS-gebaseerde ondersteuningspersoneel. EU-verblyf alleen is nie genoeg nie. Ons entiteitsverwerkinggids toon hoe toegangskontroles op GDPR Artikel 46 karteer.

Wetlike Grondslagmodiukasies

LinkedIn se boete was nie oor 'n skending nie. Dit was oor hoe LinkedIn sy verwerking geregverdig het.

"Legitieme belang" is nie 'n omvattende reg nie. Beheerders moet 'n egtelike balanstoets dokumenteer. Daai toets moet toon dat hul belang die gebruiker se regte oorskry. Ons nakomingsbladsy dek hoe om verkoper-wetlike grondslagaansprake na te gaan.

Aantekenboek- en Kennisgewing-Modiukasies

Meta se €251M-boete het 'n sleutelbevinding ingesluit. Swak ouditlogboeke het dit onmoontlik gemaak om die skendingsomvang te meet.

GDPR Artikel 33 vereis skendings-kennisgewing binne 72 uur. Daai kennisgewing moet die omvang van geaffekteerde rekords insluit. Jy kan nie omvang aanmeld wat jy nie kan meet nie.

Vra voornemende verskaffers oor hul ouditlogboekstruktuur. As 'n verskaffer nie kan antwoord "watter rekords was blootgestel?" na 'n voorval nie, misluk hulle Artikel 33(3)(b).

Die Patroon Oor DPC-Sake

Lees oor al vier groot DPC-boetes en een patroon verskyn. Reguleerders tree op teen ontwerpe waar verkoper-ingenieurs gebruikersinhoud kan sien. Elke groot boete het swak beheerde toegang tot persoonlike rekords behels.

Nulkennis-ontwerp spreek die kernbekommernis in elke saak aan. Gebruikersinhoud is versleutel. Die verskaffer hou geen ontsluitelingssleutels nie.

Vir TikTok- en Meta-oordragsake bereik nie-EU-ingenieurs die bediener maar sien slegs syferteks. Geen leesbare rekords word blootgestel nie. Vir die Meta-skendings-saak lewer 'n volledige bedienerskending niks nuttig op nie. Skendingsomvang krimp. Vir LinkedIn kan 'n verskaffer wat nooit gewone teks sien nie, geen gedragsanalise daarop uitvoer nie.

Dit is die direkte antwoord op elke DPC-optrede. Sien ons sekuriteitsoorsig vir besonderhede.

Wat "Hoof Vestiging" Beteken

Sommige maatskappye lei hul EU-struktuur om te beheer watter DPB jurisdiksie het. Die DPC se siening is hier belangrik.

"Hoof vestiging" is nie net 'n maatskappyadres nie. Dit is waar sentrale EU-bestuur sit. Vir beheerders is dit waar besluite oor verwerkingsdoelwitte geneem word.

'n Firma met 'n Londense privaatheidsspan het miskien geen EU-hoof vestiging nie. Elke lidstaat se DPB kan dan gesag oor plaaslike klagtes uitoefen.

Verskaffersoorsigvrae

Gebruik hierdie vrae wanneer jy SaaS-verskaffers beoordeel wat persoonlike rekords hanteer.

Jurisdiksie en toegang:

  • Waar is die verskaffer se EU-hoof vestiging?
  • Kan nie-EU-personeel EU-gebruikerrekords in normale werk benader?
  • Is die verskaffer se moedermaatskappy onderhewig aan die CLOUD Act of China se sekuriteitswette?

Tegniese ontwerp:

  • Bly EU-gebruikersinhoud op EU-aangebied-bedieners?
  • Hou die verskaffer versleutelingssleutels, of die klient?
  • Is ouditlogboeke gedetailleerd genoeg om skendingsomvang te meet?

Oordragrekords:

  • Watter GDPR Artikel 46-meganisme dek enige EU-VS-vloei?
  • Het die verskaffer 'n Oordrag-Impakassessering gedoen?
  • Watter ekstra tegniese maatreels is in plek?

DPC-toepassing is konsekwent oor een punt. Selfs firmas met privaatheidspa nne en DPO's staar groot boetes in die gesig wanneer hul tegniese ontwerp nie ooreenstem met hul aansprake nie.

anonym.legal gebruik EU-gebaseerde Hetzner-bedieners met nulkennis-ontwerp. Bedieners hou slegs AES-256-GCM-syferteks. 'n Volledige skending stel geen leesbare rekords bloot nie. Die Desktop-toepassing verwerk alle inhoud op-toestel sonder eksterne skakels.

Bronne

Verwante Artikels

GDPR & Nakoming

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Nakoming

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Nakoming

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.