Прецедентът TikTok
Глобата на Ирландската комисия за защита на данните от май 2025 г. от 530 милиона евро срещу TikTok за прехвърляне на потребителски данни от Европейското икономическо пространство към Китай създаде прецедент на правоприлагането, който се простира отвъд компаниите за социални медии. Констатацията на DPC: TikTok е нарушил член 46, параграф 1 от GDPR, като е прехвърлил лични данни на трета държава — Китай — без подходящи предпазни мерки. Прехвърлянето беше нарушението, а не последвалото събиране или обработка на данни.
Обхват на прецедента: всяко прехвърляне на лични данни от ЕС към сървър извън ЕС за обработка — включително обработка от законен, съвместим инструмент — е прехвърляне на данни съгласно GDPR членове 44-49. Прехвърлянето изисква или решение за адекватност (ЕС е счел, че защитата на данните на получаващата държава е адекватна), стандартни договорни клаузи (договорни защити, обвързващи получателя), обвързващи корпоративни правила (одобрена вътрешна мултинационална рамка) или друг механизъм по член 46.
Кумулативните глоби GDPR достигнаха 5,65 милиарда евро до 2025 г. Нарушенията при прехвърляне на данни сега са средно 18 милиона евро на принудително действие (DLA Piper 2025), което ги прави сред категориите на принудително изпълнение с по-висок залог.
Парадоксът на инструмента за анонимизиране
Организация, използваща базиран в САЩ инструмент за анонимизиране на SaaS за обработка на клиентски данни от ЕС, е изправена пред структурен проблем GDPR. Работният процес: Данните за клиенти от ЕС се качват на сървърите на инструмента за анонимизиране в САЩ, обработват се и се връщат анонимизирани. Анонимизираните данни се съхраняват и използват в ЕС. Необработените лични данни — оригиналните данни за клиентите в ЕС — преминаха през сървърите на САЩ по време на етапа на обработка.
Този транзит е трансфер на данни съгласно GDPR. Намерението на организацията (анонимизиране на данните за целите на съответствието) не елиминира анализа по членове 44-49. Фактът, че данните впоследствие са били анонимизирани, не отменя прехвърлянето на предварително анонимизираните лични данни.
Анализът TikTok на ирландския DPC е пряко приложим: нарушението е прехвърлянето на лични данни към сървър извън ЕС, независимо каква обработка се извършва на получаващия сървър. Базиран в САЩ инструмент за анонимизиране, който получава лични данни от ЕС на сървъри в САЩ, е получил трансфер на лични данни от ЕС. Организацията, използваща инструмента, се нуждае от същото решение за адекватност, SCC или BCR, както всеки друг трансфер на данни.
Решението за архитектура с нулево знание
Решението е архитектурно: инструмент за анонимизиране, който никога не получава лични данни, не може да бъде причина за прехвърляне на данни. Подходът с нулево знание — при който откриването и подмяната на PII се извършват от страна на клиента и само анонимизираният изход се предава или съхранява на сървърите на инструмента — елиминира безпокойството за пренос на данни.
При архитектура с нулево знание: необработените лични данни на клиента в ЕС се обработват в браузъра или локалното приложение на потребителя. Откриването на PII се изпълнява локално. Анонимизираният изход (с реална PII, заменена с токени или криптирани стойности) е единствената информация, предавана на сървъра. Сървърът получава анонимизирани данни — данни, които, ако анонимизирането е завършено, не са лични данни съгласно GDPR.
За организациите, които документират своя член 30 ROPA (Записи на дейностите по обработка), тази архитектурна разлика има значение: записът ROPA за сървър на ЕС, инструментът за анонимизиране с нулево знание не записва трансграничен трансфер. Записът ROPA за инструмент за анонимизиране на сървър в САЩ, който получава необработени лични данни, записва трансграничен трансфер, изискващ документиране на правното основание.
Източници:
- [Ирландски DPC май 2025 г.: глоба от 530 милиона евро срещу TikTok за нарушение на трансфера на данни в ЕИП] (https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million)
- [DLA Piper 2025: Нарушенията при трансфер на данни са средно 18 милиона евро на принудително действие] (https://www.dlapiper.com/en-us/insights/publications/2025/01/gdpr-fines-and-data-breach-survey-2025)
- [GDPR Членове 44-49: Изисквания за трансфер на данни и правни основания] (https://gdpr-info.eu/art-44-gdpr/)