anonym.legal

By · Last updated 2026-06-05

Zpět na blogGDPR a shoda

Irský DPC: 80 % největších pokut EU za GDPR

€530M TikTok, €310M LinkedIn, €251M Meta — vše od irského DPC. Proč Irsko hostí hlavní sídla velkých technologií v EU a co vymáhání DPC znamená pro SaaS.

June 5, 20268 min čtení
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Proč Irsko vede vymáhání v EU

Irská Komise pro ochranu dat (DPC) je vedoucím orgánem pro většinu velkých technologických společností v EU. To není náhoda.

Nízká irská daňová sazba přilákala Apple, Google, Meta, LinkedIn a TikTok. Všechny si zde zřídily svá hlavní kanceláře pro EU.

Článek 60 GDPR činí z DPC vedoucí orgán pro tyto firmy. Z tohoto pravidla vyplývají tři věci.

Za prvé, stížnost v Německu na Facebook jde k irskému DPC, nikoli k německému BfDI. Za druhé, DPC spolupracuje s ostatními unijními orgány v přeshraničních případech. Za třetí, rozhodnutí DPC proti Meta platí v celé EU.

Výsledek je zřejmý. DPC vydal více pokut v hodnotě než všechny ostatní unijní orgány dohromady. Naše přehledová stránka souladu s GDPR vysvětluje, jak to ovlivňuje výběr dodavatelů.

Tři pokuty definující roky 2024–2025

€530 milionů pro TikTok (květen 2025): Čínští inženýři měli přístup k záznamům uživatelů z EU. To porušilo články 44–46 GDPR. Ta pravidla omezují přenosy do zemí bez rozhodnutí EU o adekvátnosti. Čína žádné nemá. TikTok tvrdil, že má dostatečné kontroly. DPC prohlásil, že nikoli.

€310 milionů pro LinkedIn (říjen 2024): LinkedIn se spoléhal na „oprávněný zájem“ pro analýzu chování. DPC to prohlásil za neplatné. Zpracování nebylo nezbytné pro deklarovaný cíl. Vyvažovací test nevyšel ve prospěch LinkedInu.

€251 milionů pro Meta (listopad 2024): Únik dat na Facebooku z roku 2018 nebyl DPC nahlášen včas. DPC rovněž zjistil, že nedostatečné auditní protokoly znemožnily změřit rozsah úniku.

Tyto tři se připojily k dřívější pokutě €1,2 miliardy pro Meta z května 2023. Ta pokuta rovněž pocházela od DPC, za nezákonné přenosy dat EU–USA. Stále zůstává největší pokutou GDPR vůbec.

DPC vyřídil v roce 2024 přes 8 500 přeshraničních případů. Prohlédněte si naši stránku o bezpečnosti a souladu a zjistěte, jak zero-knowledge design řeší každé selhání.

Co každá pokuta odhaluje

Selhání přístupu při přeshraničním předávání

Všechny tři pokuty sdílí jeden klíčový problém. Osobní záznamy byly přístupné zaměstnancům v zemích bez pravidel ochrany soukromí na unijní úrovni.

Pokuta pro TikTok byla přímočará. Soubory uživatelů z EU se dostaly k čínským inženýrům navzdory deklarovaným kontrolám.

Co to znamená pro výběr dodavatelů: Zeptejte se, zda mohou inženýři mimo EU přistupovat k záznamům uživatelů z EU umístěným v EU. Dodavatel může hostovat v Dublinu a přesto vystavit soubory EU americkým pracovníkům podpory. Sídlo v EU samo o sobě nestačí. Náš průvodce zpracováním entit ukazuje, jak kontroly přístupu odpovídají článku 46 GDPR.

Selhání právního základu

Pokuta pro LinkedIn se netýkala úniku dat. Týkala se způsobu, jakým LinkedIn odůvodnil své zpracování.

„Oprávněný zájem“ není blanketní právo. Správci musí zdokumentovat skutečný vyvažovací test. Ten musí prokázat, že jejich zájem převažuje nad právy uživatelů. Naše stránka souladu popisuje, jak přezkoumávat nároky dodavatelů na právní základ.

Selhání protokolování a oznamování

Pokuta €251 milionů pro Meta zahrnovala klíčové zjištění. Nedostatečné auditní protokoly znemožnily změřit rozsah úniku.

Článek 33 GDPR vyžaduje oznámení o úniku do 72 hodin. Toto oznámení musí zahrnovat rozsah dotčených záznamů. Nemůžete hlásit rozsah, který nedokážete změřit.

Ptejte se potenciálních dodavatelů na strukturu jejich auditních protokolů. Pokud dodavatel po incidentu nedokáže odpovědět na otázku „které záznamy byly odhaleny?“, nesplňuje požadavky článku 33 odst. 3 písm. b) GDPR.

Vzor napříč případy DPC

Při přečtení všech čtyř hlavních pokut DPC se vynoří jeden vzor. Regulátoři zasahují proti architekturám, kde inženýři dodavatele mohou vidět obsah uživatelů. Každá velká pokuta zahrnovala špatně kontrolovaný přístup k osobním záznamům.

Zero-knowledge design řeší základní problém v každém případu. Obsah uživatelů je šifrován. Dodavatel nedisponuje dešifrovacími klíči.

V případech přenosů TikToku a Meta inženýři mimo EU dosáhnou na server, ale vidí pouze šifrovaný text. Žádné čitelné záznamy nejsou odhaleny. V případě úniku Meta kompletní narušení serveru nepřinese nic použitelného. Rozsah úniku se zmenšuje. V případě LinkedInu dodavatel, který nikdy nevidí prostý text, na něm nemůže provádět behaviorální analýzu.

Toto je přímá odpověď na každou akci DPC. Viz náš přehled bezpečnosti pro detaily nebo naše prohlášení zakladatele o tom, proč bylo anonym.legal takto navrženo od prvního dne.

Co znamená „hlavní provozovna“

Některé společnosti konfigurují svou unijní strukturu tak, aby kontrolovaly, který DPA má jurisdikci. Pohled DPC je zde relevantní.

„Hlavní provozovna“ není pouhá adresa firmy. Je to místo, kde sídlí centrální management EU. Pro správce je to místo, kde jsou přijímána rozhodnutí o cílech zpracování.

Firma s londýnským týmem pro ochranu soukromí nemusí mít žádnou hlavní provozovnu v EU. Každý orgán členského státu pak může uplatnit pravomoc pro místní stížnosti.

Otázky pro přezkum dodavatelů

Použijte tyto otázky při hodnocení dodavatelů SaaS nakládajících s osobními záznamy.

Jurisdikce a přístup:

  • Kde je hlavní provozovna dodavatele v EU?
  • Mohou pracovníci mimo EU přistupovat k záznamům uživatelů z EU při běžné práci?
  • Podléhá mateřská společnost dodavatele zákonu CLOUD Act nebo čínským bezpečnostním zákonům?

Technický návrh:

  • Zůstává obsah uživatelů z EU na serverech hostovaných v EU?
  • Drží dodavatel šifrovací klíče, nebo zákazník?
  • Jsou auditní protokoly dostatečně podrobné pro měření rozsahu úniku?

Záznamy o přenosech:

  • Jaký mechanismus dle článku 46 GDPR pokrývá případné toky EU–USA?
  • Provedl dodavatel posouzení dopadu přenosu?
  • Jaká dodatečná technická opatření jsou zavedena?

Vymáhání DPC je v jednom bodě konzistentní. I firmy s týmy pro ochranu soukromí a DPO čelí vysokým pokutám, pokud jejich technický návrh neodpovídá jejich tvrzením. Viz naše případové studie a FAQ pro více informací.

anonym.legal používá servery Hetzner v EU se zero-knowledge designem. Servery uchovávají pouze šifrovaný text AES-256-GCM. Kompletní únik dat neodhalí žádné čitelné záznamy. Desktopová aplikace zpracovává veškerý obsah lokálně na zařízení bez externích připojení.

Zdroje

Související články

GDPR a shoda

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR a shoda

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR a shoda

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.