Защо Ирландия доминира в прилагането на GDPR в ЕС
Ирландската комисия за защита на данните (DPC) е водещият надзорен орган за повечето големи технологични компании в ЕС. Тази концентрация не е случайна — тя отразява агресивната корпоративна данъчна политика на Ирландия и англоговорящата правна среда, която привлече Apple, Google, Meta, Microsoft, LinkedIn, WhatsApp, TikTok, Twitter/X и десетки други технологични компании да създадат своите ЕС централа в Ирландия.
Съгласно механизма за обслужване на едно гише на GDPR (член 60), DPC служи като водещ надзорен орган за всяка компания, чието основно установяване в ЕС е в Ирландия. Това означава:
- Жалба, подадена в Германия срещу Facebook, отива към ирландския DPC, а не към германския BfDI
- DPC координира с други ОЗД на ЕС (заинтересовани надзорни органи) по трансгранични случаи
- Решенията за изпълнение DPC обвързват целия ЕС — решение DPC срещу Meta се прилага навсякъде в ЕС
Резултатът: DPC е издал повече GDPR глоба от всички останали ОЗД на ЕС взети заедно:
- 530 милиона евро срещу TikTok (май 2025): Незаконно прехвърляне на потребителски данни от ЕС към Китай
- 310 милиона евро срещу LinkedIn (октомври 2024): Незаконна обработка на данни за поведенчески анализ
- 251 милиона евро срещу Meta (ноември 2024 г.): Грешки при уведомяване за нарушаване на данните и неадекватна сигурност
- 1,2 милиарда евро срещу Meta/Facebook (май 2023 г.): Най-голямата GDPR глоба досега — трансфер на данни между ЕС и САЩ
DPC обработи 8500+ трансгранични случая през 2024 г. — брой дела, който отразява както концентрацията на големи технологии в ЕС в Ирландия, така и разширените ресурси за правоприлагане на DPC.
Какво ни казва правоприлагането на DPC за избора на доставчик
Моделът на прилагане на DPC разкрива какви технически повреди регулаторите на ЕС считат за най-сериозни:
1. Трансгранични трансфери на данни (TikTok, Meta, LinkedIn): Всички най-големи глоби на DPC включват нарушения на трансфера на данни — потребителски данни от ЕС, предавани на сървъри в държави без адекватна защита на данните (САЩ, Китай). Глобата TikTok конкретно установи, че потребителските данни в ЕС са били достъпни за китайски инженери в нарушение на предпазните мерки, заявени от TikTok.
Последствия за избор на доставчик: Всеки доставчик на SaaS, чиито данни от ЕС може да са достъпни за персонал извън ЕС — дори чрез техническа поддръжка, отстраняване на грешки или инженеринг — е изправен пред потенциално излагане на DPC. Пребиваването на данни в ЕС с технически контрол за достъп, предотвратяващ достъп извън ЕС, е съвместимата архитектура.
2. Грешки при уведомяване за нарушаване на сигурността на данните (Meta): Глобата от 251 милиона евро на Meta включва констатации, че нарушението на данните във Facebook през 2018 г. не е било своевременно уведомено до DPC и че мерките за сигурност са били неадекватни. DPC установи, че „отсъствието на подробна регистрация“ прави невъзможно определянето на пълния обхват на нарушението.
Последствия за избор на доставчик: Доставчиците на SaaS, които обработват лични данни, трябва да имат достатъчно регистрационни файлове за проверка, за да определят обхвата на нарушението. Доставчиците без подробни регистрационни файлове за одит не могат да изпълнят изискванията на GDPR за уведомяване за нарушение на член 33(3)(b).
3. Неизпълнение на правно основание (LinkedIn): Глобата от 310 милиона евро на LinkedIn установи, че претенциите на LinkedIn за „легитимен интерес“ за поведенчески анализ са невалидни — обработката не е необходима за заявените цели и резултатът от теста за балансиране не е в полза на LinkedIn.
Последствия за избор на доставчик: „Легитимен интерес“ не е общо оправдание за AI и аналитична обработка. Организациите трябва да провеждат документирани тестове за балансиране, доказващи, че техните интереси наистина имат предимство пред интересите на субектите на данни.
Стандартът „нулево знание“, произтичащ от случаи DPC
Прочитайки основните случаи на DPC, се появява технически стандарт: данни, които са криптографски недостъпни за инженерите на доставчика, удовлетворяват основната грижа на всеки основен случай на изпълнение на DPC.
TikTok: Китайски инженери получиха достъп до потребителски данни в ЕС, защото имаха технически достъп до сървъри в ЕС. Архитектурата с нулево знание — при която сървърите на ЕС съхраняват само криптирани данни без възможност за дешифриране — би предотвратила нарушението.
Meta (Пробив във Facebook): Неадекватното регистриране направи обхвата на нарушението неопределен. Архитектурата с нулево знание предоставя допълнителното предимство, че дори ако сървърите са пробити, криптираните данни не са полезни за нападателите - намалявайки обхвата на известието за нарушение.
Meta (трансфери ЕС-САЩ): Потребителските данни в ЕС бяха достъпни за инженерите от САЩ. Ако потребителските данни в ЕС бяха криптирани с ключове, притежавани само от потребителите (нулево знание), американските инженери, осъществяващи достъп до сървърите на ЕС, биха виждали само шифрован текст, а не лични данни.
За организации, избиращи доставчици на SaaS, които обработват чувствителни лични данни в ЕС: архитектурата с нулево знание (където продавачът не притежава ключове за дешифриране) е най-защитимата техническа позиция за съответствие с DPC.
DPC Юрисдикция: Какво означава „Основно установяване“
За организации, които обмислят преместване на операции в ЕС за целите на юрисдикцията на DPA, тълкуването на DPC за „основно установяване“ е уместно:
„Основно установяване“ означава мястото, където се намира централната администрация на организацията в ЕС или (по-специално за администратора) където се вземат решенията относно целите и средствата за обработка. Не се определя само от регистриран адрес.
Ако решенията за GDPR на дадена компания са взети от базиран в Лондон екип за поверителност (Великобритания — не ЕС), компанията може да няма „основно предприятие“ в ЕС за GDPR механизма за обслужване на едно гише, което означава, че DPA на всяка държава-членка на ЕС може да има юрисдикция за жалби на тяхна територия.
Последици за оценката на доставчика на SaaS
За корпоративни организации, избиращи доставчици на SaaS за целите на съответствието със GDPR:
Оценка на юрисдикцията на DPA:
- Къде е основното предприятие на доставчика в ЕС? Това определя водещия DPA.
- Какъв е опитът и техническите изисквания на водещия DPA в прилагането? – Доставчикът има ли опит в разследването на DPA?
Оценка на техническата архитектура:
- Остават ли потребителските данни от ЕС в хоствана от ЕС инфраструктура?
- Могат ли инженери извън ЕС да имат достъп до потребителски данни в ЕС?
- Какво криптиране се прилага към потребителските данни на ЕС в покой?
- Достатъчни ли са регистрационните файлове за проверка, за да се определи обхватът на нарушението?
Документация на механизма за прехвърляне:
- Какъв правен механизъм обхваща потоците от данни ЕС-САЩ за този доставчик?
- Доставчикът извършил ли е оценка на въздействието на трансфера?
- Какви допълнителни технически мерки има?
Прилагането на DPC демонстрира, че дори компании със сложни програми за съответствие – TikTok и Meta и двете имаха GDPR екипи, DPO и програми за поверителност – могат да бъдат изправени пред огромни глоби, когато техническата архитектура не отговаря на твърденията за съответствие.
Източници:
- [Ирландски DPC: Комисия за защита на данните] (https://www.dataprotection.ie/)
- DPC: TikTok Решение за запитване (май 2025 г.)
- DPC: LinkedIn Решение по запитване (октомври 2024 г.)
- [EDPB: Механизъм за обслужване на едно гише — сътрудничество с надзорните органи] (https://edpb.europa.eu)