Precedens TikTok
Kara w wysokości 530 milionów euro nałożona przez Irlandzką Komisję Ochrony Danych w maju 2025 roku na TikTok za transfer danych użytkowników z Europejskiego Obszaru Gospodarczego do Chin ustanowiła precedens egzekucyjny, który wykracza poza firmy mediów społecznościowych. Ustalenie DPC: TikTok naruszył artykuł 46(1) RODO, transferując dane osobowe do kraju trzeciego — Chin — bez odpowiednich zabezpieczeń. Naruszeniem był transfer, a nie zbieranie lub przetwarzanie danych, które nastąpiło później.
Zakres precedensu: każdy transfer danych osobowych UE do serwera spoza UE w celu przetwarzania — w tym przetwarzanie przez legalne, zgodne narzędzie — jest transferem danych zgodnie z artykułami 44-49 RODO. Transfer wymaga albo decyzji o adekwatności (UE uznała, że ochrona danych w kraju odbierającym jest odpowiednia), Standardowych Klauzul Umownych (ochrony umowne wiążące odbiorcę), Wiążących Zasad Korporacyjnych (zatwierdzony wewnętrzny międzynarodowy framework), lub innego mechanizmu z artykułu 46.
Skumulowane kary RODO osiągnęły 5,65 miliarda euro do 2025 roku. Naruszenia transferu danych teraz średnio wynoszą 18 milionów euro na działanie egzekucyjne (DLA Piper 2025), co czyni je jedną z kategorii egzekucyjnych o wyższych stawkach.
Paradoks narzędzia do anonimizacji
Organizacja korzystająca z amerykańskiego narzędzia SaaS do anonimizacji w celu przetwarzania danych klientów z UE napotyka strukturalny problem RODO. Przepływ pracy: dane klientów z UE są przesyłane na serwery narzędzia do anonimizacji w USA, przetwarzane i zwracane w formie anonimizowanej. Anonimizowane dane są przechowywane i używane w UE. Surowe dane osobowe — oryginalne dane klientów z UE — przeszły przez serwery w USA podczas etapu przetwarzania.
Ten tranzyt jest transferem danych zgodnie z RODO. Intencja organizacji (anonimizacja danych w celach zgodności) nie eliminuje analizy artykułów 44-49. Fakt, że dane zostały następnie zanonimizowane, nie unieważnia transferu danych osobowych przed anonimizacją.
Analiza TikTok przez irlandzki DPC jest bezpośrednio stosowalna: naruszeniem jest transfer danych osobowych do serwera spoza UE, niezależnie od tego, jakie przetwarzanie odbywa się na serwerze odbierającym. Amerykańskie narzędzie do anonimizacji, które otrzymuje dane osobowe z UE na serwerach w USA, otrzymało transfer danych osobowych z UE. Organizacja korzystająca z narzędzia potrzebuje tej samej decyzji o adekwatności, SCC lub BCR jak każdy inny transfer danych.
Rozwiązanie architektury zero-knowledge
Rozwiązanie jest architektoniczne: narzędzie do anonimizacji, które nigdy nie otrzymuje danych osobowych, nie może być przyczyną transferu danych. Podejście zero-knowledge — gdzie wykrywanie i zastępowanie PII odbywa się po stronie klienta, a jedynie anonimizowany wynik jest przesyłany lub przechowywany na serwerach narzędzia — eliminuje problem transferu danych.
W architekturze zero-knowledge: surowe dane osobowe klientów z UE są przetwarzane w przeglądarce użytkownika lub lokalnej aplikacji. Wykrywanie PII odbywa się lokalnie. Anonimizowany wynik (z prawdziwymi PII zastąpionymi tokenami lub zaszyfrowanymi wartościami) jest jedynymi danymi przesyłanymi na serwer. Serwer otrzymuje dane anonimizowane — dane, które, jeśli anonimizacja jest pełna, nie są danymi osobowymi zgodnie z RODO.
Dla organizacji dokumentujących swoje ROPA z artykułu 30 (Rejestry Działań Przetwarzania), ta różnica architektoniczna ma znaczenie: wpis ROPA dla narzędzia do anonimizacji na serwerze w UE nie rejestruje transferu transgranicznego. Wpis ROPA dla narzędzia do anonimizacji na serwerze w USA, które otrzymuje surowe dane osobowe, rejestruje transfer transgraniczny wymagający dokumentacji podstawy prawnej.
Źródła: