anonym.legal

By · Last updated 2026-03-06

العودة إلى المدونةالامتثال لـ GDPR

غرامة TikTok بـ530 مليون يورو: سيادة البيانات في ظل GDPR

غرامة TikTok البالغة 530 مليون يورو بموجب GDPR جراء نقل بيانات الاتحاد الأوروبي إلى الصين تُؤذن بحقبة جديدة من إنفاذ سيادة البيانات. مع بلوغ إجمالي الغرامات 5.65 مليار يورو، باتت خيارات الموردين قرارات تنظيمية.

March 6, 20269 دقيقة قراءة
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

حكم TikTok الذي غيّر مفهوم سيادة البيانات

مُحدَّث لعام 2026

في مايو 2025، غرّمت هيئة حماية البيانات الأيرلندية TikTok 530 مليون يورو. السبب كان واضحاً: أرسلت TikTok معلومات المستخدمين الأوروبيين إلى الصين دون ضمانات كافية.

هذه الغرامة الثانية الأكبر في تاريخ GDPR. لا تتفوق عليها سوى غرامة Meta البالغة 1.2 مليار يورو عام 2023، التي أصدرتها هيئة DPC الأيرلندية أيضاً — لإرسال بيانات أوروبية إلى خوادم Facebook الأمريكية.

كلتا القضيتين تشتركان في نمط واضح: النقل العابر للحدود دون ضمانات كافية يجلب أضخم الغرامات. المنظمون سيواصلون الضغط حتى تغيّر الشركات مساراتها.

بلغ إجمالي غرامات GDPR 5.65 مليار يورو حتى نهاية 2025. الإنفاذ لم يعد مخاطرة في الخلفية — بل تكلفة تشغيلية فعلية. راجع دليل الامتثال لـGDPR للاطلاع على نظرة عملية شاملة.

ما قرّرته قضية TikTok

هذه القضية لم تكن عن اختراق. كانت عن وجهة بيانات المستخدمين والأساس القانوني لنقلها عبر الحدود.

خزّنت TikTok بيانات المستخدمين الأوروبيين على خوادم يمكن لموظفين في الصين الوصول إليها. تُقيّد المادتان 44-46 من GDPR النقل إلى دول لا تحظى بقرار كفاية أوروبي. الصين لا تحظى بمثل هذا القرار. ادّعت TikTok امتلاكها تدابير تقنية كافية. رفض المنظمون ذلك.

الدرس بسيط: الاستضافة في الاتحاد الأوروبي لا تكفي إن كان موظفون خارج الاتحاد يمكنهم الوصول إلى البيانات. كذلك لا تكفي إن كانت الشركة ملزمة بالامتثال لقوانين دولة غير مؤهَّلة.

هذا مهم عند اختيار موردي SaaS. قد يقول المورد «نستضيف في الاتحاد الأوروبي». لكن إن كانت شركته الأم مقرّها في مكان آخر، ينطبق الخطر ذاته. وإن كان موظفو الدعم يصلون إلى بيانات المستخدمين من خارج الاتحاد، ينطبق الخطر ذاته — ويتشاركه عملاؤهم. راجع قائمة التحقق من التوافق قبل توقيع اتفاقية DPA.

غرامات GDPR: 5.65 مليار يورو وفي تصاعد

إجراء الإنفاذالغرامةالسنةالأساس
Meta (Facebook) — DPC1.2 مليار يورو2023نقل غير قانوني بين الاتحاد الأوروبي والولايات المتحدة
TikTok — DPC530 مليون يورو2025النقل إلى الصين
Amazon — CNPD لوكسمبورغ746 مليون يورو2021استهداف إعلاني
WhatsApp — DPC225 مليون يورو2021إخفاقات الشفافية
Google — CNIL فرنسا150 مليون يورو2022موافقة ملفات تعريف الارتباط

انتقل المنظمون من وضع القواعد إلى تطبيقها. انتهاكات النقل تجلب الآن أضخم الغرامات. اطلع على كيفية تعاملنا مع الأمن والضمانات.

ألمانيا وسويسرا والقواعد القطاعية

تنطبق المادتان 44-46 من GDPR على جميع القطاعات، لكن بعض الصناعات تواجه قواعد إضافية فوق GDPR.

الرعاية الصحية الألمانية: يُقيّد كتاب القانون الاجتماعي الخامس (SGB V) وثائق الصحة على الأنظمة الخاضعة للسيطرة الألمانية. قد تستخدم شركة تأمين ألمانية أداة إلغاء تعريف سحابية في دبلن — وهذا داخل الاتحاد الأوروبي — لكنها قد تنتهك SGB V إن كانت الشركة المالكة للأداة غير ألمانية.

المصارف السويسرية: تحظر المادة 47 من قانون المصارف مشاركة وثائق العملاء مع أطراف خارجية. ذلك يشمل مزودي السحابة دون موافقة صريحة من العميل. بيانات عملاء مصرف سويسري، حتى في أداة مستضافة في الاتحاد الأوروبي، قد تستدعي هذا القانون.

القطاع العام الألماني: توجيهات BfDI تُقيّد وثائق الحكومة على الأنظمة الحكومية. أداة إلغاء تعريف على خوادم مزود سحابة تجاري في الاتحاد الأوروبي لا تستوفي هذا المعيار.

الدرس: التوافق مع GDPR هو الحد الأدنى لا السقف. كثير من القطاعات تواجه قواعد أشد صرامة. تُخطّط نظرتنا الشاملة على معالجة الكيانات للقواعد المنطبقة حسب القطاع.

مَن يحظى بقرار الكفاية؟

يتيح GDPR تبادل بيانات المستخدمين بحرية مع الدول التي تُقرر المفوضية الأوروبية أنها توفر حماية مكافئة. هذه الدول مؤهَّلة:

أندورا، الأرجنتين، كندا (للجهات التجارية)، جزر فارو، غيرنزي، إسرائيل، جزيرة مان، اليابان، جيرسي، نيوزيلندا، كوريا الجنوبية، سويسرا، المملكة المتحدة، أوروغواي، والولايات المتحدة (إطار خصوصية البيانات).

هذه الدول غير مؤهَّلة: الصين، الهند، روسيا، البرازيل، معظم دول آسيا والمحيط الهادئ، معظم دول الشرق الأوسط، معظم دول أفريقيا.

إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة عاد إلى العمل، لكنه لا يزال مطعوناً فيه قضائياً. الحجج القانونية ذاتها أسقطت Safe Harbor (Schrems I) وPrivacy Shield (Schrems II). ينبغي على الشركات المستخدِمة لهذا الإطار الاستعداد لإلغاء محتمل آخر.

أربعة مستويات للحماية عند اختيار الأدوات

قضيتا TikTok وMeta ترسمان تدرجاً واضحاً لتقييم أدوات SaaS.

المستوى الأول — الاستضافة في الاتحاد الأوروبي: تُعالَج بيانات المستخدمين وتُخزَّن على خوادم أوروبية. هذا يستوفي الحد الأدنى لـGDPR في معظم حالات الاستخدام.

المستوى الثاني — مشغّل أوروبي: شركة المورد الأم أوروبية، غير خاضعة لقوانين دول غير مؤهَّلة. هذا يُصلح مشكلة TikTok. الاستضافة في الاتحاد مع تعرّض الشركة الأم لقانون صيني ليست آمنة.

المستوى الثالث — تصميم المعرفة الصفرية: حتى لو تعرّض المورد لاختراق أو أمر قضائي، لا يستطيع قراءة ملفاتك. أنت تحتفظ بمفاتيح التشفير، وهو لا يحتفظ إلا بنص مشفَّر. اطلع على نهجنا في المعرفة الصفرية.

المستوى الرابع — المعالجة المحلية: وثائقك لا تغادر أنظمتك الخاصة قط. تعمل المعالجة على أجهزة محلية أو أجهزة حكومية. هذا السبيل الوحيد للاستيفاء الكامل لـSGB V الألماني وسرية المصارف السويسرية وتوجيهات BfDI. راجع خطط الأسعار للاطلاع على خيارات تطبيق سطح المكتب.

تقييمات DPIA بعد TikTok

تُلزم المادة 35 من GDPR بإجراء تقييم أثر حماية البيانات (DPIA) للمعالجة عالية المخاطر. عند إرسال بيانات المستخدمين إلى معالجين في دول ثالثة، تُلزم أيضاً بتقييم أثر النقل.

بعد قضية TikTok، يجب أن تجيب تقييمات DPIA لأدوات التنقيح السحابية على أربعة أسئلة:

ولاية قضاء الشركة الأم: هل الشركة الأم للمورد خاضعة لقوانين — كـCLOUD Act الأمريكي أو قانون الأمن السيبراني الصيني — قد تُلزمها بتسليم بيانات المستخدمين الأوروبيين؟

وصول الموظفين: هل يصل موظفون في دول غير مؤهَّلة إلى بيانات المستخدمين الأوروبيين في العمليات الاعتيادية؟

الأساس القانوني: ما آلية المادة 46 من GDPR التي تغطي أي نقل — SCCs أو BCRs أو استثناءات؟

أثر الاختراق: إن تعرّض المورد لاختراق أو أُلزم بتسليم وثائق، ما الذي يُكشَف؟

أثبتت قضية TikTok أن العقود وحدها لا تكفي. يجب تقييمها للكفاية وتوثيق الإجابات. تصفّح الأسئلة الشائعة للإجابة على أسئلة DPIA الشائعة.

أسئلة المشتريات في 2026

بات مسؤولو حماية البيانات يطرحون أسئلة محددة جداً عند مراجعة موردي SaaS لأدوات معالجة البيانات الشخصية.

  • أين تقع الخوادم؟ (في الاتحاد الأوروبي؟)
  • أين مقر الشركة الأم؟ (الاتحاد الأوروبي؟ الولايات المتحدة؟ غيرها؟)
  • هل يصل موظفون من خارج الاتحاد إلى بيانات عملاء أوروبيين؟
  • أي قانون يحكم الأوامر القضائية المتعلقة بالوثائق الشخصية؟
  • هل يحتفظ المورد بمفاتيح التشفير أم أنت؟
  • هل ثمة خيار للمعالجة المحلية؟

إجابات هذه الأسئلة — لا توقيعات اتفاقيات DPA وحدها — هي التي تُحدد التوافق الفعلي مع سيادة البيانات. اطلع على كيف بُنيت anonym.legal للإجابة على كلها في بيان المؤسس. يمكنك أيضاً تصفّح قاموس المصطلحات الرئيسية للتعريفات السريعة لـSCCs وBCRs وقرارات الكفاية.

المشهد ما بعد TikTok واضح: المنظمون يرصدون النقل العابر للحدود عن كثب. الغرامات ضخمة وفي ارتفاع. اختيارك للمورد بات قراراً تنظيمياً، لا مجرد قرار تقني.

تستخدم anonym.legal مراكز بيانات Hetzner الأوروبية مع تصميم المعرفة الصفرية. لا يرى الخادم محتواك في صورته النصية الواضحة. اختراق كامل للخادم لا ينتج إلا نصاً مشفَّراً بـAES-256-GCM. تحتاج إلى معالجة محلية فقط؟ يعمل تطبيق سطح المكتب كلياً على جهازك دون اتصالات خارجية.

المصادر

مقالات ذات صلة

الامتثال لـ GDPR

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

الامتثال لـ GDPR

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

الامتثال لـ GDPR

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

هل أنت مستعد لحماية بياناتك؟

ابدأ بإخفاء المعلومات الشخصية مع أكثر من 285 نوع كيان عبر 48 لغة.

ابدأ تجربة مجانيةعرض الميزات

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.