Precedent TikToku
Pokuta irské Komise pro ochranu údajů z května 2025 ve výši €530 milionů proti TikToku za přenos dat uživatelů z Evropského hospodářského prostoru do Číny stanovila precedent vymáhání, který přesahuje společnosti sociálních médií. Závěr DPC: TikTok porušil článek 46(1) GDPR přenosem osobních dat do třetí země — Číny — bez adekvátních záruk. Přenos byl porušením, nikoli sběr nebo zpracování dat, které následovalo.
Rozsah precedentu: jakýkoli přenos osobních dat EU na server mimo EU pro zpracování — včetně zpracování legitimním, vyhovujícím nástrojem — je přenosem dat podle článků 44-49 GDPR. Přenos vyžaduje buď rozhodnutí o přiměřenosti (EU uznala ochranu dat přijímající země za adekvátní), standardní smluvní doložky (smluvní ochrany závazné pro příjemce), závazná podniková pravidla (schválený interní mezinárodní rámec), nebo jiný mechanismus článku 46.
Kumulativní pokuty GDPR dosáhly do roku 2025 €5,65 miliardy. Porušení přenosu dat nyní průměrně dosahuje €18 milionů na případ vymáhání (DLA Piper 2025), čímž patří mezi kategorie vymáhání s vyššími sázkami.
Paradox nástroje pro anonymizaci
Organizace používající americký SaaS nástroj pro anonymizaci ke zpracování dat zákazníků EU čelí strukturálnímu problému GDPR. Pracovní postup: data zákazníků EU jsou nahrána na americké servery nástroje pro anonymizaci, zpracována a vrácena anonymizovaná. Anonymizovaná data jsou uložena a používána v EU. Nezpracovaná osobní data — původní data zákazníků EU — přešla přes americké servery během kroku zpracování.
Tento průchod je přenosem dat podle GDPR. Záměr organizace (anonymizovat data pro účely dodržování předpisů) neodstraňuje analýzu článků 44-49. Skutečnost, že data byla následně anonymizována, neruší přenos před-anonymizovaných osobních dat.
Analýza irské DPC o TikToku je přímo použitelná: porušení je přenos osobních dat na server mimo EU, bez ohledu na to, jaké zpracování probíhá na přijímajícím serveru. Americký nástroj pro anonymizaci, který přijímá data EU na amerických serverech, přijal přenos osobních dat EU. Organizace používající nástroj potřebuje stejné rozhodnutí o přiměřenosti, SCCs nebo BCRs jako jakýkoli jiný přenos dat.
Řešení architektury zero-knowledge
Řešením je architektura: nástroj pro anonymizaci, který nikdy nepřijímá osobní data, nemůže být příčinou přenosu dat. Přístup zero-knowledge — kdy detekce a nahrazení PII probíhá na straně klienta a pouze anonymizovaný výstup je přenesen nebo uložen na serverech nástroje — eliminuje obavy ohledně přenosu dat.
Při architektuře zero-knowledge: nezpracovaná osobní data zákazníků EU jsou zpracována v prohlížeči uživatele nebo místní aplikaci. Detekce PII probíhá lokálně. Anonymizovaný výstup (s reálnými PII nahrazenými tokeny nebo šifrovanými hodnotami) je jedinými daty přenášenými na server. Server přijímá anonymizovaná data — data, která pokud je anonymizace úplná, nejsou osobními daty podle GDPR.
Pro organizace dokumentující svůj ROPA (záznamy o zpracovatelských činnostech) podle článku 30 tento architekturální rozdíl záleží: záznamy ROPA pro nástroj pro anonymizaci na serveru EU se zero-knowledge nezaznamenávají přeshraniční přenos. Záznamy ROPA pro nástroj pro anonymizaci na serveru USA, který přijímá nezpracovaná osobní data, zaznamenávají přeshraniční přenos vyžadující dokumentaci právního základu.
Zdroje: