anonym.legal

By · Last updated 2026-03-06

Назад към блогаGDPR и съответствие

Глоба от 530 млн. евро за TikTok: Суверенитет на данните по GDPR

Глобата от 530 млн. евро на TikTok по GDPR за трансфери на данни ЕС-Китай бележи нова ера в прилагането на суверенитета на данните. С над 5 млрд. евро наложени глоби по GDPR, изборът на доставчик вече е регулаторно решение.

March 6, 20269 мин. четене
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

Решението за TikTok, което промени суверенитета на данните

Актуализирано за 2026 г.

През май 2025 г. Ирландската комисия за защита на данните (DPC) наложи глоба на TikTok от 530 милиона евро. Причината е проста. TikTok е изпращал информация за потребители от ЕС в Китай без подходящи гаранции.

Това е втората по величина единична санкция по GDPR. По-голяма е само глобата от 1,2 милиарда евро за Meta от 2023 г. Ирландската DPC издаде и нея - за изпращане на данни от ЕС до сървърите на Facebook в САЩ.

И двата случая споделят ясна закономерност. Трансферите между граници без подходящи гаранции привличат най-високите глоби. Регулаторите ще продължат да настояват, докато компаниите се променят.

Общите глоби по GDPR достигнаха 5,65 милиарда евро до 2025 г. Прилагането вече не е фонов риск. То е активен разход за правене на бизнес. Вижте ръководството ни за съответствие с GDPR за практически преглед.

Какво реши делото TikTok

Това дело не беше за пробив. Беше за това накъде отиват потребителските файлове и правното основание за прехвърлянето им между граници.

TikTok е съхранявал файлове на потребители от ЕС на сървъри. Персоналът в Китай е имал достъп до тези сървъри. Членове 44-46 от GDPR ограничават трансферите към страни без решение за адекватност от ЕС. Китай няма такова решение. TikTok твърдеше, че има достатъчни технически мерки. Регулаторите казаха не.

Урокът е прост. Хостването в ЕС не е достатъчно, ако персоналът извън ЕС има достъп до файловете. Не е достатъчно и ако компанията трябва да спазва законите на страна без адекватност.

Това е важно при избора на SaaS доставчици. Доставчик може да каже "хостваме в ЕС". Но ако компанията-майка е базирана другаде, същият риск се прилага. Ако техният персонал за поддръжка достъпва потребителски файлове извън ЕС, същият риск се прилага. Техните клиенти споделят този риск. Проверете контролния списък за съответствие преди подписване на DPA.

Глоби по GDPR: 5,65 милиарда евро и продължава

Правоприлагащо действиеГлобаГодинаОснования
Meta (Facebook) - DPC1,2 млрд. евро2023Незаконни трансфери ЕС-САЩ
TikTok - DPC530 млн. евро2025Трансфери ЕС-Китай
Amazon - CNPD Люксембург746 млн. евро2021Рекламно насочване
WhatsApp - DPC225 млн. евро2021Нарушения на прозрачността
Google - CNIL Франция150 млн. евро2022Съгласие за бисквитки

Регулаторите преминаха от установяване на правила към прилагането им. Нарушенията при трансфер вече привличат най-високите глоби. Научете как обработваме сигурността и гаранциите.

Германия, Швейцария и секторни правила

Членове 44-46 от GDPR се прилагат за всички сектори. Но някои индустрии имат допълнителни правила освен GDPR.

Германско здравеопазване: Социален кодекс, книга V (SGB V), ограничава здравните документи до системи под германски контрол. Германски застраховател може да използва облачен инструмент за деидентификация в Дъблин - това е ЕС. Но той пак може да нарушава SGB V, ако собственикът на инструмента е не-германска фирма.

Швейцарско банкиране: Член 47 от Закона за банките забранява споделянето на клиентски документи с трети страни. Това включва облачни доставчици без изрично съгласие на клиента. Клиентските файлове на швейцарска банка, дори в инструмент, хостван в ЕС, може да задействат този закон.

Германски публичен сектор: Насоките на BfDI ограничават правителствените документи до управлявани от правителството системи. Инструмент за деидентификация на сървърите на търговски облачен доставчик в ЕС не отговаря на този стандарт.

Урокът: Съответствието с GDPR е минимумът, не таванът. Много сектори имат по-строги правила. Прегледът ни на обработката на субекти съпоставя приложимите правила по сектори.

Кои страни имат решение за адекватност?

GDPR позволява на страните да обменят потребителска информация свободно, ако Европейската комисия каже, че осигуряват равна защита. Тези страни отговарят на условията:

Андора, Аржентина, Канада (търговски организации), Фарьорски острови, Гернси, Израел, Остров Ман, Япония, Джърси, Нова Зеландия, Южна Корея, Швейцария, Великобритания, Уругвай и САЩ (Рамка за защита на личните данни).

Тези страни не отговарят: Китай, Индия, Русия, Бразилия, повечето от Азиатско-тихоокеанския регион, повечето от Близкия изток, повечето от Африка.

Рамката за защита на данните ЕС-САЩ е отново в сила. Но тя все още се оспорва в съда. Същите правни аргументи унищожиха Safe Harbor (Schrems I) и Privacy Shield (Schrems II). Компаниите, използващи тази рамка, трябва да планират за друго обезсилване.

Четири нива на защита при избор на инструменти

Делата TikTok и Meta създават ясна класация за оценка на SaaS инструменти.

Ниво 1 - Хостване в ЕС: Потребителската информация се обработва и съхранява на сървъри в ЕС. Това отговаря на базовото изискване на GDPR за повечето случаи.

Ниво 2 - Оператор, базиран в ЕС: Компанията-майка на доставчика е базирана в ЕС. Тя не е обект на законите на страни без адекватност. Това решава проблема с TikTok. Хостването в ЕС в съчетание с излагане на китайски закон за компанията-майка не е безопасно.

Ниво 3 - Zero-knowledge дизайн: Дори ако доставчикът е хакнат или получи съдебна заповед, той не може да чете вашите файлове. Вие притежавате ключовете за криптиране. Те притежават само шифрования текст. Прочетете за нашия zero-knowledge подход.

Ниво 4 - Локална обработка: Вашите документи никога не напускат вашите собствени системи. Обработката се извършва на локален хардуер или управлявани от правителството машини. Това е единственият начин за пълно съответствие с германския SGB V, швейцарската банкова тайна и правилата на BfDI. Вижте нашите планове за ценообразуване за опции за настолното приложение.

DPIA след TikTok

Мember 35 от GDPR изисква Оценка на въздействието върху защитата на данните за рискова обработка. Това се нарича DPIA. Когато потребителски файлове отиват към процесори в трети страни, вие трябва и да оцените въздействието на трансфера.

След TikTok DPIA за облачни инструменти за редакция трябва да отговорят на четири въпроса.

Юрисдикция на компанията-майка: Обект ли е компанията-майка на доставчика на закони - CLOUD Act, китайски закон за киберсигурност - които биха могли да я принудят да предаде потребителски файлове от ЕС?

Достъп на персонала: Достъпват ли персонал от страни без адекватност потребителски файлове от ЕС при нормални операции?

Правно основание: Кой механизъм по GDPR член 46 покрива евентуалните трансфери - SCC, BCR или дерогации?

Въздействие при пробив: Ако доставчикът бъде хакнат или принуден да предаде документи, какво ще бъде изложено?

TikTok показа, че договорите сами по себе си не са достатъчни. Трябва да ги оцените за адекватност. Документирайте отговорите. Прегледайте нашите въпроси и отговори за чести въпроси относно DPIA.

Въпроси при обществени поръчки за 2026 г.

Длъжностните лица по защита на данните вече задават много конкретни въпроси при преглед на SaaS доставчици за инструменти за обработка на лична информация.

  • Къде се намират сървърите? (ЕС?)
  • Къде е базирана компанията-майка? (ЕС? САЩ? Другаде?)
  • Достъпват ли персонал извън ЕС файловете на клиенти от ЕС?
  • Кое право урежда съдебните заповеди за лични документи?
  • Притежава ли доставчикът ключовете за криптиране, или вие?
  • Има ли опция за локална обработка?

Отговорите на тези въпроси - не само подписите на DPA - определят реалното съответствие с принципа за суверенитет. Научете как anonym.legal е изграден да отговори на всички тях на страницата на основателя. Можете също да прегледате речника на ключовите термини за бързи определения на SCC, BCR и решения за адекватност.

Средата след TikTok е ясна. Регулаторите следят трансферите между граници внимателно. Глобите са големи. Нарастват. Изборът на доставчик вече е регулаторно решение. Не е само техническо.

anonym.legal използва центрове за данни на Hetzner в ЕС с zero-knowledge дизайн. Сървърът никога не вижда вашето съдържание в открит текст. Пълен пробив на сървъра дава само AES-256-GCM шифрован текст. Нуждаете се от обработка само на локално ниво? Настолното приложение работи изцяло на вашето устройство без zewnетrzни връзки.

Източници

Свързани статии

GDPR и съответствие

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и съответствие

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и съответствие

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.