anonym.legal

By · Last updated 2026-03-06

Πίσω στο BlogGDPR & Συμμόρφωση

Πρόστιμο €530 εκατ. στο TikTok: GDPR και Κυριαρχία Δεδομένων

Το πρόστιμο €530 εκατ. του Irish DPC στο TikTok για μεταφορές δεδομένων ΕΕ-Κίνας σηματοδοτεί νέα εποχή στην επιβολή του GDPR. Με €5,65 δισ. σε συνολικά πρόστιμα GDPR ως το 2025, η συμμόρφωση δεδομένων δεν είναι πλέον θεωρητική.

March 6, 20269 λεπτά ανάγνωσης
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

Η Απόφαση για το TikTok που Επαναπροσδιόρισε την Κυριαρχία Δεδομένων

Τον Μάιο του 2025, η Ιρλανδική Επιτροπή Προστασίας Δεδομένων επέβαλε πρόστιμο €530 εκατ. στο πλαίσιο του GDPR κατά του TikTok, λόγω μεταφοράς δεδομένων χρηστών της ΕΕ στην Κίνα χωρίς επαρκείς διασφαλίσεις.

Το πρόστιμο είναι πλέον το δεύτερο μεγαλύτερο ατομικό πρόστιμο GDPR που έχει επιβληθεί, υστερώντας μόνο έναντι του προστίμου €1,2 δισ. για τη Meta το 2023, επίσης από το Ιρλανδικό DPC, για παράνομες μεταφορές δεδομένων ΕΕ-ΗΠΑ στους αμερικανικούς διακομιστές του Facebook. Οι δύο αυτές υποθέσεις μαζί εδραιώνουν ένα σαφές μοτίβο εφαρμογής: οι διασυνοριακές μεταφορές δεδομένων χωρίς επαρκείς διασφαλίσεις αποτελούν προτεραιότητα επιβολής, και το DPC θα επιβάλει πρόστιμα σε κλίμακα που επιβάλλει αλλαγή συμπεριφοράς.

Με €5,65 δισ. σε συνολικά πρόστιμα GDPR έως το 2025 (tracker εφαρμογής GDPR.eu), η επιβολή του GDPR δεν αποτελεί πλέον παρασκηνιακό κίνδυνο συμμόρφωσης — είναι ένα ενεργό επιχειρηματικό κόστος που οι ρυθμιστικές αρχές επιβάλλουν αποφασιστικά.

Τι Αποφάσισε Στην Πραγματικότητα η Υπόθεση TikTok

Η υπόθεση TikTok δεν αφορούσε κυρίως πρακτικές ασφαλείας ή παραβιάσεις δεδομένων. Αφορούσε τον τόπο αποθήκευσης δεδομένων και τη νομική βάση για διεθνείς μεταφορές.

Η ευρωπαϊκή δραστηριότητα του TikTok αποθήκευε και επεξεργαζόταν δεδομένα χρηστών της ΕΕ σε διακομιστές στους οποίους είχαν πρόσβαση υπάλληλοι στην Κίνα. Τα άρθρα 44-46 του GDPR περιορίζουν τις διεθνείς μεταφορές δεδομένων σε χώρες χωρίς απόφαση επάρκειας της ΕΕ, εκτός αν ισχύουν συγκεκριμένοι νομικοί μηχανισμοί. Η Κίνα δεν διαθέτει απόφαση επάρκειας ΕΕ. Το επιχείρημα του TikTok ότι είχε εφαρμόσει επαρκή τεχνικά μέτρα δεν έγινε αποδεκτό.

Το δομικό δίδαγμα: «οι διακομιστές μας βρίσκονται στην ΕΕ» δεν αρκεί αν τα δεδομένα είναι προσβάσιμα από προσωπικό εκτός ΕΕ, ή αν ο οργανισμός υπόκειται στους νόμους μιας χώρας με εξουσίες κρατικής πρόσβασης που συγκρούονται με τον GDPR.

Αυτό αφορά άμεσα οργανισμούς που αξιολογούν προμηθευτές SaaS. Ένας προμηθευτής που δηλώνει «φιλοξενούμε στην ΕΕ» αλλά έχει μητρική εταιρεία με έδρα τις ΗΠΑ, ή υπαλλήλους υποστήριξης με πρόσβαση εκτός ΕΕ, ενδέχεται να αντιμετωπίσει την ίδια ρυθμιστική πρόκληση που αντιμετώπισε το TikTok — και το ίδιο μπορεί να ισχύσει και για τους πελάτες τους.

Η Συνολική Εικόνα: €5,65 Δισ. σε Πρόστιμα GDPR

Μέτρο ΕφαρμογήςΠρόστιμοΈτοςΒάση
Meta (Facebook) — DPC€1,2 δισ.2023Παράνομες μεταφορές ΕΕ-ΗΠΑ
TikTok — DPC€530 εκατ.2025Μεταφορές ΕΕ-Κίνας
Amazon — CNPD Λουξεμβούργο€746 εκατ.2021Στόχευση διαφημίσεων
WhatsApp — DPC€225 εκατ.2021Παραβιάσεις διαφάνειας
Google — CNIL Γαλλία€150 εκατ.2022Συναίνεση cookies

Το σωρευτικό σύνολο €5,65 δισ. έως το 2025 αντικατοπτρίζει ωρίμανση της εφαρμογής του GDPR: οι ρυθμιστικές αρχές έχουν μεταβεί από τη θέσπιση προηγούμενων αποφάσεων στη συστηματική εφαρμογή ανά κατηγορία παράβασης. Οι παραβιάσεις μεταφοράς δεδομένων αποτελούν πλέον την κατηγορία με τα υψηλότερα πρόστιμα, αντικατοπτρίζοντας τις ρυθμιστικές προτεραιότητες.

Το Γερμανικό Πρόβλημα Υγειονομικής Περίθαλψης

Τα άρθρα 44-46 του GDPR εφαρμόζονται εξίσου σε όλους τους κλάδους, αλλά ορισμένοι κλάδοι αντιμετωπίζουν πρόσθετες απαιτήσεις κυριαρχίας δεδομένων πέρα από τον GDPR.

Γερμανικός τομέας υγείας: Το Κοινωνικό Βιβλίο Κώδικα V (SGB V) περιορίζει την επεξεργασία δεδομένων υγείας σε γερμανικά συστήματα. Ένας Γερμανός ασφαλιστής υγείας που χρησιμοποιεί ένα cloud εργαλείο ανωνυμοποίησης που φιλοξενείται στο Δουβλίνο — τεχνικά εντός ΕΕ — ενδέχεται να μην συμμορφώνεται με το SGB V αν ο πάροχος του εργαλείου είναι μη γερμανική οντότητα με πιθανές συγκρούσεις με τη γερμανική νομοθεσία.

Ελβετική τραπεζική: Ο νόμος για τo τραπεζικό απόρρητο στην Ελβετία (Άρθρο 47 Τραπεζικού Νόμου) απαγορεύει την αποκάλυψη πληροφοριών πελατών σε μη εξουσιοδοτημένα μέρη, συμπεριλαμβανομένων παρόχων cloud που δεν καλύπτονται από ρητή συγκατάθεση πελάτη. Δεδομένα πελατών ιδιωτικής τράπεζας που επεξεργάζονται μέσω οποιουδήποτε cloud εργαλείου — ακόμα και εντός ΕΕ — ενδέχεται να ενεργοποιήσουν υποχρεώσεις τραπεζικού απορρήτου.

Γερμανικός δημόσιος τομέας: Οδηγίες του BfDI (Ομοσπονδικός Επίτροπος Προστασίας Δεδομένων) περιορίζουν τα δεδομένα κυβερνητικών φορέων σε υποδομές υπό κυβερνητικό έλεγχο. Ένα εργαλείο ανωνυμοποίησης που φιλοξενείται στους διακομιστές εμπορικού παρόχου cloud εντός ΕΕ δεν ικανοποιεί αυτή την απαίτηση.

Αυτά τα παραδείγματα δείχνουν ότι η συμμόρφωση με τον GDPR είναι το ελάχιστο, όχι το ανώτατο όριο. Για κλάδους υπό ρυθμιστικό πλαίσιο και δημόσιους φορείς, οι απαιτήσεις κυριαρχίας δεδομένων συχνά επιβάλλουν πρόσθετους περιορισμούς που υπερβαίνουν τον τόπο φιλοξενίας.

Το Τοπίο των Αποφάσεων Επάρκειας

Το πλαίσιο διεθνών μεταφορών του GDPR εξαρτάται από το αν η Ευρωπαϊκή Επιτροπή εκδίδει «αποφάσεις επάρκειας» για χώρες που παρέχουν ισοδύναμη προστασία δεδομένων. Το τρέχον τοπίο:

Χώρες με αποφάσεις επάρκειας: Ανδόρα, Αργεντινή, Καναδάς (εμπορικοί οργανισμοί), Νήσοι Φερόε, Γκέρνσεϊ, Ισραήλ, Νήσος Μαν, Ιαπωνία, Τζέρσεϊ, Νέα Ζηλανδία, Νότια Κορέα, Ελβετία, Ηνωμένο Βασίλειο, Ουρουγουάη, ΗΠΑ (Data Privacy Framework — αποκαταστάθηκε μετά την ακύρωση Schrems II)

Χώρες χωρίς επάρκεια: Κίνα, Ινδία, Ρωσία, Βραζιλία, μεγάλο μέρος της APAC, μεγάλο μέρος της MENA, μεγάλο μέρος της Αφρικής

Το Data Privacy Framework (ΕΕ-ΗΠΑ) αποκαταστάθηκε μετά από πολιτικές διαπραγματεύσεις, αλλά παραμένει νομικά αμφισβητούμενο. Υποστηρικτές του απορρήτου έχουν ήδη σηματοδοτήσει νομικές προσφυγές βάσει επιχειρημάτων για αμερικανική νομοθεσία παρακολούθησης που ακύρωσε τους προκατόχους του (Safe Harbor στο Schrems I, Privacy Shield στο Schrems II).

Οργανισμοί που βασίζονται στο EU-US Data Privacy Framework ως νομική βάση για επεξεργασία δεδομένων σε αμερικανική φιλοξενία θα πρέπει να έχουν σχέδια έκτακτης ανάγκης σε περίπτωση νέας ακύρωσής του.

Πώς οι Απαιτήσεις Κυριαρχίας Δεδομένων Μεταφράζονται στην Επιλογή Εργαλείου

Η συνολική εικόνα από το TikTok, τη Meta και το υποκείμενο ρυθμιστικό πλαίσιο δημιουργεί μια ιεραρχία διασφάλισης συμμόρφωσης για την επιλογή εργαλείων SaaS:

Επίπεδο 1 — Φιλοξενία ΕΕ: Τα δεδομένα επεξεργάζονται και αποθηκεύονται σε διακομιστές φυσικά τοποθετημένους στην ΕΕ. Αυτό ικανοποιεί την βασική απαίτηση GDPR για δεδομένα που δεν απαιτούν κυριαρχική προστασία.

Επίπεδο 2 — Πάροχος με έδρα ΕΕ: Η ελέγχουσα οντότητα του προμηθευτή εδρεύει στην ΕΕ και δεν υπόκειται στους νόμους χώρας χωρίς απόφαση επάρκειας. Αυτό αντιμετωπίζει το πρόβλημα TikTok, όπου η φιλοξενία ΕΕ συνδυαζόταν με έκθεση της μητρικής σε κινεζική νομοθεσία.

Επίπεδο 3 — Αρχιτεκτονική μηδενικής γνώσης: Ακόμα κι αν ο προμηθευτής παραβιαστεί, αναγκαστεί από αρχές επιβολής νόμου ή υποχρεωθεί να παραδώσει δεδομένα σε αλλοδαπή κυβέρνηση, δεν μπορεί να αποκτήσει πρόσβαση σε δεδομένα σε απλό κείμενο, διότι τα κλειδιά κρυπτογράφησης κατέχει αποκλειστικά ο πελάτης. Αυτό αντιμετωπίζει το σενάριο όπου ακόμα και ένας πλήρως συμμορφούμενος με τον GDPR προμηθευτής λαμβάνει νομική αίτηση.

Επίπεδο 4 — Τοπική επεξεργασία: Τα δεδομένα δεν εγκαταλείπουν ποτέ την υποδομή του ίδιου του οργανισμού. Η επεξεργασία γίνεται σε τοπικό υλικό ή κυβερνητικά συστήματα. Αυτή είναι η μόνη προσέγγιση που ικανοποιεί πλήρως το γερμανικό SGB V, το ελβετικό τραπεζικό απόρρητο, τις απαιτήσεις BfDI για τον δημόσιο τομέα, και παρόμοιες εντολές κυριαρχίας δεδομένων.

Η Πρακτική Συνέπεια για τις DPIA του GDPR

Οι Εκτιμήσεις Αντίκτυπου Προστασίας Δεδομένων (DPIA) που απαιτούνται βάσει του άρθρου 35 του GDPR για επεξεργασία υψηλού κινδύνου πρέπει να περιλαμβάνουν εκτίμηση αντίκτυπου μεταφοράς όταν δεδομένα κοινοποιούνται σε επεξεργαστές τρίτων χωρών. Μετά την απόφαση για το TikTok, οι DPIA για cloud εργαλεία ανωνυμοποίησης πρέπει να εξετάζουν ρητά:

  1. Δικαιοδοσία μητρικής εταιρείας: Υπόκειται η μητρική του προμηθευτή σε νόμους (CLOUD Act, κινεζική νομοθεσία κυβερνοασφάλειας κ.λπ.) που θα μπορούσαν να απαιτήσουν παραγωγή δεδομένων πελατών ΕΕ;

  2. Πρόσβαση προσωπικού υποστήριξης: Έχουν πρόσβαση σε δεδομένα πελατών ΕΕ υπαλλήλοι υποστήριξης ή μηχανικοί σε χώρες χωρίς επάρκεια, ως μέρος κανονικών λειτουργιών;

  3. Νομική βάση μεταφορών: Ποιος συγκεκριμένος μηχανισμός βάσει άρθρου 46 GDPR εφαρμόζεται σε τυχόν ροές δεδομένων προς χώρες χωρίς επάρκεια (SCC, BCR, παρεκκλίσεις);

  4. Ανάλυση αντίκτυπου παραβίασης: Αν ο προμηθευτής παραβιαστεί ή υποχρεωθεί να παραδώσει δεδομένα, ποια δεδομένα πελατών ΕΕ θα εκτεθούν;

Για οργανισμούς που χρησιμοποιούν cloud εργαλεία ανωνυμοποίησης, αυτές οι ερωτήσεις έχουν συγκεκριμένες απαντήσεις που πρέπει να τεκμηριώνονται. Η απόφαση για το TikTok απέδειξε ότι «έχουμε συμβόλαια» δεν αρκεί αν αυτά τα συμβόλαια δεν αξιολογήθηκαν σωστά για επάρκεια.

Τι Σημαίνει Αυτό για Προμήθειες το 2026

Μετά την απόφαση για το TikTok, οι DPO που ελέγχουν προμηθευτές SaaS για εργαλεία επεξεργασίας δεδομένων θέτουν πιο συγκεκριμένα ερωτήματα από πριν:

  • Πού βρίσκονται οι διακομιστές; (ΕΕ;)
  • Πού έχει έδρα η μητρική εταιρεία; (ΕΕ; ΗΠΑ; Αλλού;)
  • Έχουν πρόσβαση υπάλληλοι εκτός ΕΕ σε δεδομένα πελατών ΕΕ;
  • Ποιο δίκαιο εφαρμόζεται σε αιτήματα αστυνομικών αρχών για δεδομένα;
  • Υπάρχει αρχιτεκτονική μηδενικής γνώσης ή κατέχει ο προμηθευτής τα κλειδιά κρυπτογράφησης;
  • Υπάρχει επιλογή τοπικής επεξεργασίας;

Οι απαντήσεις σε αυτές τις ερωτήσεις — όχι η παρουσία υπογεγραμμένων DPA — καθορίζουν την πραγματική συμμόρφωση κυριαρχίας δεδομένων στο μετά-TikTok ρυθμιστικό περιβάλλον.

Η web πλατφόρμα του anonym.legal χρησιμοποιεί κέντρα δεδομένων Hetzner εντός ΕΕ με αρχιτεκτονική μηδενικής γνώσης — ο διακομιστής δεν λαμβάνει ποτέ μη κρυπτογραφημένα δεδομένα πελατών, και μια πλήρης παραβίαση διακομιστή αποφέρει μόνο κρυπτοκείμενο AES-256-GCM. Για οργανισμούς που απαιτούν αποκλειστικά τοπική επεξεργασία, η Εφαρμογή Desktop επεξεργάζεται όλα τα δεδομένα εν τοπίω χωρίς εξωτερική επικοινωνία δικτύου.

Πηγές:

Σχετικά Άρθρα

GDPR & Συμμόρφωση

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Συμμόρφωση

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Συμμόρφωση

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Έτοιμοι να προστατεύσετε τα δεδομένα σας;

Ξεκινήστε την ανωνυμοποίηση PII με 285+ τύπους οντοτήτων σε 48 γλώσσες.

Ξεκινήστε Δωρεάν ΔοκιμήΔείτε Χαρακτηριστικά

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.