Rozsudek o TikToku, který změnil datovou suverenitu
Aktualizováno pro rok 2026
V květnu 2025 udělila irská Komise pro ochranu osobních údajů TikToku pokutu 530 milionů EUR. Důvod byl prostý: TikTok přenášel údaje uživatelů z EU do Číny bez odpovídajících záruk.
Jde o druhou nejvyšší individuální pokutu v historii GDPR. Větší je jen pokuta 1,2 miliardy EUR udělená Metě v roce 2023 — irský DPC ji vydal také, za přenos evropských dat na servery Facebooku v USA.
Oba případy sdílejí jasný vzorec. Přeshraniční přenosy bez odpovídajících záruk přitahují největší pokuty. Regulátoři budou tlačit, dokud se chování firem nezmění.
Celkové pokuty GDPR dosáhly do roku 2025 výše 5,65 miliardy EUR. Vymáhání již není okrajovým rizikem. Je to aktivní náklad podnikání. Praktický přehled najdete v našem průvodci souladem s GDPR.
Co případ TikToku rozhodl
Tento případ se netýkal úniku dat. Šlo o to, kam uživatelská data putují a na jakém právním základě jsou přenášena přes hranice.
TikTok ukládal soubory uživatelů EU na serverech, ke kterým měli přístup zaměstnanci v Číně. Články 44–46 GDPR omezují přenosy do zemí bez rozhodnutí EU o přiměřenosti. Čína takové rozhodnutí nemá. TikTok tvrdil, že má dostatečná technická opatření. Regulátoři nesouhlasili.
Poučení je jednoduché. Hosting v EU nestačí, pokud mají zaměstnanci mimo EU přístup k souborům. Nestačí ani tehdy, pokud musí společnost dodržovat právní předpisy zemí bez rozhodnutí o přiměřenosti.
To je důležité při výběru dodavatelů SaaS. Dodavatel může říkat „hostujeme v EU”. Pokud je ale jeho mateřská společnost jinde, stejné riziko platí. Pokud pracovníci podpory přistupují k uživatelským souborům mimo EU, stejné riziko platí. A jejich zákazníci toto riziko sdílejí. Před podpisem DPA si prohlédněte náš kontrolní seznam pro soulad s předpisy.
Pokuty GDPR: 5,65 miliardy EUR a počítá se dál
| Vymáhací opatření | Pokuta | Rok | Důvod |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 mld. EUR | 2023 | Nelegální přenosy EU-USA |
| TikTok — DPC | 530 mil. EUR | 2025 | Přenosy EU-Čína |
| Amazon — CNPD Lucembursko | 746 mil. EUR | 2021 | Cílení reklamy |
| WhatsApp — DPC | 225 mil. EUR | 2021 | Nedostatky v transparentnosti |
| Google — CNIL Francie | 150 mil. EUR | 2022 | Souhlas s cookies |
Regulátory přešly od nastavování pravidel k jejich vymáhání. Porušení přenosů nyní přitahují největší pokuty. Přečtěte si, jak řešíme bezpečnost a ochranu dat.
Německo, Švýcarsko a odvětvová pravidla
Články 44–46 GDPR platí pro všechna odvětví. Některá odvětví však čelí navíc předpisům nad rámec GDPR.
Německé zdravotnictví: Sociální zákoník V (SGB V) omezuje zdravotní dokumentaci na systémy pod německou kontrolou. Německý pojistitel může používat cloudový nástroj de-identifikace v Dublinu — to je EU. Může ale stále porušovat SGB V, pokud je vlastníkem nástroje německá firma.
Švýcarské bankovnictví: Článek 47 zákona o bankách zakazuje sdílení klientských dokumentů s třetími stranami. To zahrnuje poskytovatele cloudových služeb bez výslovného souhlasu klienta. Soubory klientů švýcarské banky, i v nástroji hostovaném v EU, mohou tento zákon porušovat.
Německý veřejný sektor: Pokyny BfDI omezují vládní dokumenty na systémy provozované vládou. Nástroj de-identifikace na serverech komerčního poskytovatele cloudu v EU tuto normu nesplňuje.
Poučení: Soulad s GDPR je minimem, nikoli stropem. Mnoho odvětví čelí přísnějším pravidlům. Náš přehled zpracování entit mapuje, která pravidla platí pro které odvětví.
Které země mají rozhodnutí o přiměřenosti?
GDPR umožňuje zemím volně si vyměňovat uživatelské údaje, pokud Evropská komise prohlásí, že poskytují rovnocennou ochranu. Tato kritéria splňují: Andorra, Argentina, Kanada (komerční subjekty), Faerské ostrovy, Guernsey, Izrael, Ostrov Man, Japonsko, Jersey, Nový Zéland, Jižní Korea, Švýcarsko, Velká Británie, Uruguay a USA (Rámec pro ochranu soukromí).
Tato kritéria nesplňují: Čína, Indie, Rusko, Brazílie, většina asijsko-tichomořské oblasti, většina Blízkého východu, většina Afriky.
Rámec pro ochranu soukromí EU-USA je opět v platnosti. Je však stále soudně napaden. Stejné právní argumenty zrušily Safe Harbor (Schrems I) i Privacy Shield (Schrems II). Firmy používající tento rámec by měly plánovat možnost dalšího zrušení.
Čtyři úrovně ochrany při výběru nástrojů
Případy TikToku a Mety vytvářejí jasné pořadí pro hodnocení dodavatelů SaaS.
Úroveň 1 — Hosting v EU: Uživatelské informace jsou zpracovávány a ukládány na serverech EU. To splňuje základní požadavky GDPR pro většinu případů použití.
Úroveň 2 — Provozovatel se sídlem v EU: Mateřská společnost dodavatele má sídlo v EU. Nepodléhá zákonům zemí bez rozhodnutí o přiměřenosti. Tím se řeší problém TikToku — hosting v EU spojený s čínsko-právní expozicí mateřské společnosti bezpečný není.
Úroveň 3 — Architektura nulové znalosti: I kdyby byl dodavatel napaden nebo dostal soudní příkaz, nemůže číst vaše soubory. Šifrovací klíče máte vy. Dodavatel má pouze šifrovaný text. Přečtěte si o našem přístupu nulové znalosti.
Úroveň 4 — Lokální zpracování: Vaše dokumenty nikdy neopustí vaše vlastní systémy. Zpracování probíhá na místním hardwaru nebo na strojích spravovaných vládou. To je jediný způsob, jak plně splnit německý SGB V, švýcarské bankovní tajemství a pokyny BfDI. Možnosti aplikace Desktop najdete v cenových plánech.
DPIA po TikToku
Článek 35 GDPR vyžaduje posouzení dopadu na ochranu osobních údajů (DPIA) pro vysoce rizikové zpracování. Při přenosu uživatelských souborů ke zpracovatelům ve třetích zemích potřebujete také posouzení dopadu přenosu.
Po případu TikToku musí DPIA pro nástroje pro anonymizaci v cloudu odpovědět na čtyři otázky:
Jurisdikce mateřské společnosti: Podléhá mateřská společnost dodavatele zákonům — jako CLOUD Act nebo čínský zákon o kybernetické bezpečnosti — které by ji mohly donutit předat soubory uživatelů EU?
Přístup zaměstnanců: Přistupují zaměstnanci v zemích bez rozhodnutí o přiměřenosti k souborům uživatelů EU při běžném provozu?
Právní základ: Jaký mechanismus podle článku 46 GDPR pokrývá případné přenosy — standardní smluvní doložky, závazná podniková pravidla nebo výjimky?
Dopad porušení: Pokud bude dodavatel napaden nebo donucen k předání dokumentů, co bude odhaleno?
TikTok ukázal, že samotné smlouvy nestačí. Musíte je posoudit z hlediska přiměřenosti. Zdokumentujte své odpovědi. Časté otázky k DPIA najdete v našem FAQ.
Otázky pro nákupní procesy v roce 2026
Pověřenci pro ochranu osobních údajů nyní při přezkumu dodavatelů SaaS pro nástroje zpracovávající osobní údaje kladou velmi konkrétní otázky:
- Kde se nacházejí servery? (EU?)
- Kde má sídlo mateřská společnost? (EU? USA? Jinde?)
- Mají zaměstnanci mimo EU přístup k souborům zákazníků z EU?
- Jakým právem se řídí soudní příkazy k vydání osobních dokumentů?
- Drží šifrovací klíče dodavatel, nebo vy?
- Existuje možnost lokálního zpracování?
Odpovědi na tyto otázky — nikoli jen podpisy DPA — určují skutečný soulad s požadavky na suverenitu. Přečtěte si, jak byl anonym.legal postaven tak, aby na ně odpovídal, v prohlášení zakladatele. Rychlé definice pojmů jako standardní smluvní doložky, závazná podniková pravidla a rozhodnutí o přiměřenosti najdete v glosáři klíčových pojmů.
Prostředí po TikToku je jasné. Regulátoři pečlivě sledují přeshraniční přenosy. Pokuty jsou vysoké a rostou. Výběr dodavatele je nyní regulatorním rozhodnutím — nejen technickým.
anonym.legal používá datová centra Hetzner v EU s architekturou nulové znalosti. Server nikdy nevidí váš obsah v čitelné podobě. Úplné prolomení serveru poskytne útočníkům pouze šifrovaný text AES-256-GCM. Potřebujete pouze lokální zpracování? Aplikace Desktop běží výhradně na vašem zařízení bez externích připojení.
Zdroje
- Irský DPC: Rozhodnutí o pokutě pro TikTok ve výši 530 mil. EUR — OVĚŘENO-EXTERNĚ
- Wire: Digitální suverenita 2025 — OVĚŘENO-EXTERNĚ
- GDPR.eu Tracker vymáhání — OVĚŘENO-EXTERNĚ