Proč Irsko dominuje vymáhání GDPR EU
Irská Komise pro ochranu dat (DPC) je vedoucím orgánem dohledu pro většinu hlavních technologických společností EU. Tato koncentrace není náhodná — je výsledkem strategického rozhodnutí Big Tech o umístění jejich evropského sídla v Irsku, kombinovaného s irelevancí jednostopu GDPR.
Princip jednoho okénka: GDPR Článek 60 stanovuje, že DPC státu EU, kde má správce dat své hlavní sídlo v EU, slouží jako vedoucí orgán dohledu pro veškeré zpracování organizace v rámci EU. Vedoucí orgán koordinuje s jinými DPA, ale vede vyšetřování a rozhodnutí.
Irsko je hlavním sídlem EU pro:
- Meta (Facebook, Instagram, WhatsApp)
- Google (Alphabet)
- Apple
- LinkedIn (Microsoft)
- TikTok (ByteDance EU HQ)
- Twitter/X
- Airbnb
- Stripe
- Salesforce
Výsledek: DPC s 170 zaměstnanci je vedoucím orgánem dohledu pro společnosti zpracovávající data miliard lidí EU.
Klíčová vyšetřování DPC
TikTok — €530 milionů (2025): Přenos dat EEA do Číny bez adekvátních záruk. Porušení Článku 46(1) — přenos do třetí země (Číny) bez odpovídajícího mechanismu ochrany. Největší pokuta DPC k dnešnímu dni a stanovila precedent pro vymáhání přenosu dat.
LinkedIn — €310 milionů (2024): Behaviorální reklama bez platného právního základu. LinkedIn zpracovával osobní data pro cílení reklamy na základě legitimního zájmu bez platného posouzení — precedent pro Ad-Tech legitimní zájem nároky.
Meta — €251 milionů (2024): Narušení dat ovlivňující 29 milionů uživatelů EU prostřednictvím zranitelnosti Facebook View As. Narušení bezpečnosti plus neadekvátní oznamovací proces dokumentace.
Meta (Instagram) — €405 milionů (2022): Zveřejnění dat dětí — telefonní čísla a e-maily dítěte byly zveřejněny prostřednictvím výchozích nastavení Instagram pro podnikatelské účty. Navrhování dat jako výchozí nastavení bylo neslučitelné se GDPR principem soukromí od návrhu.
Co DPC vymáhání znamená pro SaaS dodavatele
Vzory DPC vymáhání signalizují prioritní oblasti pro technologické produkty zpracovávající data EU:
Přenos dat: Pokuta TikToku potvrzuje, že jakýkoli přenos dat EU na non-EU servery bez adekvátních záruk je prioritou DPC vymáhání. Nástroje SaaS s non-EU zpracováním musí dokumentovat jejich GDPR přenosový mechanismus.
Správa datové retence: DPC zjistil, že mnoho technologických společností uchovávalo data déle než jejich deklarované politiky retence. GDPR Článek 5(1)(e) omezení úložiště vyžaduje, že data jsou odstraněna když účel je naplněn.
Dětská data: DPC speciálně kontroluje zpracování dat pod 16 let. Nástroje, které potenciálně zpracovávají data dětí (vzdělávací platformy, spotřebitelské aplikace) čelí zvýšené kontrole DPC.
Zdroje: