Решението TikTok, което предефинира суверенитета на данните
През май 2025 г. Ирландската комисия за защита на данните наложи 530 милиона евро GDPR глоба срещу TikTok за прехвърляне на потребителски данни от ЕС към Китай без адекватни гаранции.
Сега глобата е втората най-голяма индивидуална глоба GDPR, издавана някога, след 1,2 милиарда евро Meta глоба от 2023 г., също наложена от ирландския DPC, за незаконно прехвърляне на данни между ЕС и САЩ към сървърите на Facebook в САЩ. Заедно тези два случая установяват ясен модел на прилагане: трансграничните трансфери на данни без подходящи предпазни мерки са приоритетна област на прилагане и DPC ще налага глоби в мащаб, който налага промяна в поведението.
С 5,65 милиарда евро кумулативни глоби GDPR до 2025 г. (проследяване на изпълнението на GDPR.eu), прилагането на GDPR вече не е основен риск за съответствие — това е активен бизнес разход, който регулаторите активно налагат.
Какво всъщност реши делото TikTok
Случаят TikTok не беше предимно за практики за сигурност или нарушения на данните. Ставаше въпрос за местоположението на данните и правното основание за международни трансфери на данни.
Операциите на TikTok в ЕС съхраняваха и обработваха потребителски данни от ЕС на сървъри, които бяха достъпни за служители в Китай. GDPR Членове 44-46 ограничават международните трансфери на данни до държави без решение на ЕС за адекватност, освен ако не са налице специфични правни механизми. Китай няма решение за адекватност на ЕС. Аргументът на TikTok, че е въвел адекватни технически мерки, не беше приет.
Структурният урок: „нашите сървъри са в ЕС“ не е достатъчен, ако данните могат да бъдат достъпни от персонал извън ЕС или ако организацията е подчинена на законите на държава с държавни правомощия за достъп, които противоречат на GDPR.
Това е пряко свързано с организациите, оценяващи доставчиците на SaaS. Доставчик, който казва „ние хостваме в ЕС“, но чиято компания майка е със седалище в САЩ или чийто обслужващ персонал има достъп извън ЕС, може да се сблъска със същото регулаторно предизвикателство, пред което е изправен TikTok — както и техните клиенти.
Кумулативната картина: 5,65 милиарда евро в GDPR глоби
| Принудително действие | глоба | Година | Основания |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 милиарда евро | 2023 | Незаконни трансфери ЕС-САЩ |
| TikTok — DPC | 530 милиона евро | 2025 | Трансфери ЕС-Китай |
| Amazon — CNPD Люксембург | 746 милиона евро | 2021 | Насочване на реклами |
| WhatsApp — DPC | 225 милиона евро | 2021 | Пропуски в прозрачността |
| Google — CNIL Франция | 150 милиона евро | 2022 | Съгласие за бисквитки |
Кумулативните общо 5,65 милиарда евро до 2025 г. отразяват съзряването на правоприлагането на GDPR: регулаторите преминаха от установяване на прецеденти към систематично прилагане в различните категории нарушения. Нарушенията при трансфер на данни вече са категорията с най-висока глоба, отразяваща регулаторните приоритети.
Германският проблем със здравеопазването
GDPR Членове 44-46 се прилагат еднакво във всички сектори, но някои сектори са изправени пред допълнителни суверенни изисквания за данни извън GDPR.
Германско здравеопазване: Социалният кодекс V (SGB V) ограничава обработката на здравни данни до контролирани от Германия системи. Германски здравен застраховател, използващ инструмент за анонимизиране в облака, хостван в Дъблин — който технически е ЕС — все още може да не отговаря на SGB V, ако операторът на инструмента е негермански субект с потенциални конфликти с германското право.
Швейцарско банкиране: Швейцарският закон за банковата тайна (член 47 от Закона за банките) забранява разкриването на клиентска информация на неоторизирани страни, включително доставчици на облачни услуги, които не са обхванати от изричното съгласие на клиента. Клиентските данни на швейцарска частна банка, обработвани чрез който и да е облачен инструмент — дори хостван в ЕС — може да предизвикат задължения за банкова тайна.
Немски публичен сектор: Насоките на BfDI (Федерален комисар за защита на данните) ограничават данните на държавните агенции до контролирана от правителството инфраструктура. Инструмент за анонимизиране, хостван на сървъри в ЕС на търговски облачен доставчик, не отговаря на това изискване.
Тези случаи показват, че съответствието с GDPR е на пода, а не на тавана. За регулираните индустрии и организации от публичния сектор суверенните изисквания за данни често налагат допълнителни ограничения, които надхвърлят местоположението на хостинга.
Пейзажът на решенията за адекватност
Международната рамка за трансфер на GDPR зависи от издаването на „решения за адекватност“ на Европейската комисия за държави, за които се счита, че предоставят еквивалентна защита на данните. Текущият ландшафт на адекватността:
Държави с решения за адекватност: Андора, Аржентина, Канада (търговски организации), Фарьорски острови, Гърнси, Израел, остров Ман, Япония, Джърси, Нова Зеландия, Южна Корея, Швейцария, Обединеното кралство, Уругвай, САЩ (Рамка за поверителност на данните — възстановена след анулирането на Schrems II)
Страни без адекватност: Китай, Индия, Русия, Бразилия, повечето от APAC, повечето от MENA, повечето от Африка
Рамката за поверителност на данните (ЕС-САЩ) беше възстановена след политически преговори, но остава правно оспорена. Защитниците на поверителността вече сигнализираха за правни предизвикателства въз основа на аргументи на законодателството на САЩ за наблюдение, които обезсилиха предшествениците му (Safe Harbor в Schrems I, Privacy Shield в Schrems II).
Организациите, разчитащи на рамката за поверителност на данните между ЕС и САЩ като тяхно правно основание за обработка на данни, хоствана в САЩ, трябва да имат планове за действие при извънредни ситуации за ново обезсилване.
Как изискванията за суверенитет на данните се превеждат в избор на инструмент
Кумулативната картина от TikTok, Meta и основната регулаторна рамка създава йерархия на осигуряване на съответствие за избор на SaaS инструмент:
Ниво 1 — Хостинг в ЕС: Данните се обработват и съхраняват на сървъри, физически разположени в ЕС. Това удовлетворява базовото изискване GDPR за данни, които не изискват защита на суверенно ниво.
Ниво 2 — Базиран в ЕС оператор: Контролиращият субект на продавача е базиран в ЕС и не е обект на законите на неадекватна държава. Това адресира проблема TikTok, при който хостингът в ЕС беше съчетан с излагане на китайското законодателство за юридическото лице майка.
Ниво 3 — Архитектура с нулево знание: Дори ако доставчикът е нарушен, принуден от правоприлагащите органи или изискван да предостави данни от чуждо правителство, той няма достъп до данните в обикновен текст, тъй като ключовете за криптиране се държат изключително от клиента. Това се отнася до сценария, при който дори напълно съвместим със GDPR доставчик получава правно искане.
Ниво 4 — Локална обработка: Данните изобщо не напускат собствената инфраструктура на организацията. Обработката се извършва на локален хардуер или контролирани от правителството системи. Това е единственият подход, който напълно удовлетворява германския SGB V, банковата тайна на Швейцария, изискванията на публичния сектор BfDI и подобни държавни мандати за данни.
Практическата последица за GDPR DPIA
Оценките на въздействието върху защитата на данните (DPIA), изисквани съгласно член 35 от GDPR за обработване с висок риск, трябва да включват оценка на въздействието на трансфера, когато данните се споделят с обработващи трети държави. Следвайки решението на TikTok, DPIA за базирани в облака инструменти за анонимизиране трябва изрично да адресират:
-
Юрисдикция на дружеството-майка: Предприятието-майка на доставчика подлежи ли на закони (Закон CLOUD, китайски закон за киберсигурността и т.н.), които може да изискват изготвяне на данни за клиенти в ЕС?
-
Достъп на обслужващия персонал: Имат ли обслужващ или инженерен персонал в неадекватни държави достъп до данните на клиентите в ЕС като част от нормалните операции?
-
Правно основание за трансфери: Кой конкретен механизъм на GDPR член 46 се прилага за всякакви потоци от данни към неадекватни държави (SCC, BCR, дерогации)?
-
Анализ на въздействието на нарушението: Ако доставчикът бъде нарушен или е принуден да предостави данни, какви данни на клиенти от ЕС ще бъдат разкрити?
За организации, използващи базирани на облак инструменти за анонимизиране, тези въпроси имат конкретни отговори, които трябва да бъдат документирани. Решението TikTok показа, че „имаме сключени договори“ не е достатъчно, ако тези договори не са правилно оценени за адекватност.
Какво означава това за обществените поръчки през 2026 г
След решението на TikTok, DPO, преглеждащи доставчиците на SaaS за инструменти за обработка на данни, задават по-конкретни въпроси от преди:
- Къде са сървърите? (ЕС?)
- Къде е регистрирана компанията майка? (ЕС? САЩ? Друго?)
- Служителите извън ЕС имат ли достъп до данни за клиенти в ЕС?
- Какъв закон се прилага за искания за данни от правоприлагащите органи?
- Има ли архитектура с нулево знание или доставчикът притежава ключове за криптиране?
- Има ли възможност за локална обработка?
Отговорите на тези въпроси — не наличието на подписи на DPA — определят действителното съответствие на суверенитета на данните в регулаторната среда след TikTok.
Уеб платформата на anonym.legal използва базирани в ЕС Hetzner центрове за данни с архитектура с нулево знание — сървърът никога не получава некриптирани клиентски данни, а пълен компромис на сървъра дава само AES-256-GCM шифрован текст. За организации, изискващи само локална обработка, приложението за настолни компютри обработва всички данни на устройството без комуникация с външна мрежа.
Източници:
- [Ирландско DPC: TikTok Решение за глоба от 530 милиона евро] (https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million)
- [Телефон: Цифров суверенитет 2025 — Европейски предприятия] (https://wire.com/en/blog/digital-sovereignty-2025-europe-enterprises)