anonym.legal

By · Last updated 2026-03-06

Itzuli BlogeraGDPR & Betetze

530 milioi euroko TikTok Isuna: GDPR Datu-Subiranotasuna

TikTok-en 530 milioi euroko GDPR isuna EB-Txina datu-transferentziengatik datu-subiranotasunaren betearazpenaren aroa berri bat markatzen du. 5,65 milioi euro baino gehiagorekin...

March 6, 20269 min irakurri
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

TikTok-en Epaiak Datu-Subiranotasuna Aldatu Zuen

2026rako eguneratua

2025eko maiatzean, Irlandako Datuen Babeserako Batzordeak TikTok 530 milioi eurorekin isundu zuen. Arrazoia sinplea zen. TikTok-ek EB-ko erabiltzaileen informazioa Txinara bidali zuen bermaketa egokirik gabe.

Hau inoiz egindako bigarren GDPR zigor handiena da. 1.200 milioi euroko Meta isuna bakarrik 2023koa handiagoa da. Irlandako DPC-k ere hori eman zuen - EB-ko erregistroak Facebook-en AEBetako zerbitzarietara bidaltzeagatik.

Bi kasuek eredu argi bat dute. Bermaketa egokirik gabeko mugaz gaindiko transferentziek isun handienak erakartzen dituzte. Erregulatzaileak presionatzen jarraituko dute enpresak aldatzen diren arte.

GDPR isun guztiak 5.650 milioi euro iritsi ziren 2025era arte. Betearazpena ez da gehiago atzeko planoko arriskua. Negozio egitearen kostu aktibo bat da. Ikusi gure GDPR konformitate gida ikuspegi praktikoarekin.

TikTok Auziak Zer Erabaki Zuen

Auzi hau ez zen haustea buruz. Erabiltzaile-fitxategiak nora doazen eta horiek mugaz gaindiko transferentzien oinarri juridikoa buruz zen.

TikTok-ek EB-ko erabiltzaile-fitxategiak zerbitzarietan gordetzen zituen. Txinako langileek zerbitzari horietara sar zitezkeen. GDPR 44-46 Artikuluek transferentziak mugatzen dituzte EB-ren egokitasun-erabakiarekin ez dauden herrialdeetan. Txinak ez du halako erabakirik. TikTok-ek neurri tekniko egokiak zituela esan zuen. Erregulatzaileek ezetza eman zuten.

Irakaspena sinplea da. EB-an hartzea ez da nahikoa EB-tik kanpoko langileek fitxategietara sar badaitezke. Baita nahikoa ez da herrialdearen legeak jarraitu behar dituen enpresak egokitasun-erabakirik ez duen herrialdekoa bada.

SaaS saltzaileak aukeratzen dituzunean hau garrantzitsua da. Saltzaile batek "EB-an hartzen dugu" esan dezake. Baina beren gurasoa beste nonbait badago, arrisku bera aplikatzen da. Beren laguntza-langileak EB-tik kanpotik erabiltzaile-fitxategietara sartzen badira, arrisku bera aplikatzen da. Haien bezeroak arrisku hori partekatzen dute ere. Egiaztatu gure betetze-lerrokatze zerrenda DPA bat sinatu aurretik.

GDPR Isunak: 5.650 milioi euro eta Hazten

Betearazpen-ekintzaIsunaUrteaOinarriak
Meta (Facebook) - DPC1.200M euro2023EB-AEB transferentzia illegala
TikTok - DPC530M euro2025EB-Txina transferentziak
Amazon - CNPD Luxenburgo746M euro2021Publizitate-joera
WhatsApp - DPC225M euro2021Gardentasun-hutsegiteak
Google - CNIL Frantzia150M euro2022Cookie baimena

Erregulatzaileak arauak ezartzera joan ziren betearaztera. Transferentzia-hausteak isun handienak erakartzen ditu. Ikusi nola kudeatu segurtasuna eta bermaketak.

Alemania, Suitza eta Sektore-Arauak

GDPR 44-46 Artikuluak sektore guztiei aplikatzen zaizkie. Baina industria batzuek GDPR-ren gainetik arau gehigarriak dituzte.

Alemaniako osasun-zerbitzuak: Gizarte Kode Liburuaren V bolumenak (SGB V) osasun-dokumentuak Alemaniaren kontrolpeko sistemetan mugatzen ditu. Alemaniako aseguru-etxe batek Dublingo hodei de-identifikazio tresna bat erabil dezake - hori EB-koa da. Baina tresna-jabea ez-alemaniako enpresa bada, SGB V hausten duen ikus daiteke.

Suitzako bankugintza: Bankugintza Legearen 47. Artikuluak bezero-dokumentuak kanpoko aldeekin partekatzea debekatzen du. Hori hodei-hornitzaileak barne hartzen ditu bezero-adostasunik gabe. Suitzako bankuaren bezero-fitxategiak, EB-an ostatatutako tresna batean ere, lege hori aktibatu dezake.

Alemaniako sektore publikoa: BfDI gidalerroak gobernu-dokumentuak gobernuak kudeatutako sistemetara mugatzen ditu. Merkataritza-hodei-hornitzailearen EB-ko zerbitzarietan dagoen de-identifikazio tresnak ez du estandar hau betetzen.

Irakaspena: GDPR lerrokatze hondoa da, sabaia ez. Sektore askok arau zorrotzagoak dituzte. Gure erakundeen prozesatze-ikuspenak sektorearen arabera zein arau aplikatzen diren mapatzen du.

Nork du Egokitasun-Erabakia?

GDPR-k herrialdeei elkarren arteko erabiltzaile-informazioa libreki trukatzeko aukera ematen die Europako Batzordeak babes berdina eskaintzen dutela esaten badu. Herrialde hauek sailkatzen dira:

Andorra, Argentina, Kanada (merkataritza-taldeak), Faroe Uharteak, Guernsey, Israel, Man Uhartea, Japonia, Jersey, Zelanda Berria, Hego Korea, Suitza, Erresuma Batua, Uruguai eta AEB (Datuen Pribatutasun Esparrua).

Herrialde hauek ez dira sailkatzen: Txina, India, Errusia, Brasil, Asia-Pazifikoren gehiengoa, Ekialde Ertainaren gehiengoa, Afrikaren gehiengoa.

EB-AEB Datuen Pribatutasun Esparrua indarrean dago berriro. Baina oraindik auzitegian erronkatzen ari da. Argudio juridiko berdinek Safe Harbor (Schrems I) eta Privacy Shield (Schrems II) suntsitu zituzten. Esparru hau erabiltzen duten enpresek beste ezabaketa baterako planifikatu beharko dute.

Tresna Aukeratzeko Babes Lau Maila

TikTok eta Meta kasuek SaaS tresnen ebaluaziorako sailkapen argi bat sortzen dute.

1. Maila - EB-ko hartzea: Erabiltzaile-informazioa EB-ko zerbitzarietan prozesatzen eta gordetzen da. Hau GDPR oinarrizko lerroa betetzen du kasu gehienentzat.

2. Maila - EB-ko operatzailea: Saltzailearen gurasoa EB-koa da. Ez da egokitasun-erabakiik gabeko herrialdeko legeek menpean. Honek TikTok arazoa konpontzen du. EB-ko hartzea eta Txinako-lege esposizio gurasoarekin ez da segurua.

3. Maila - Zero-knowledge diseinua: Saltzailea hackeatuta egon edo agindua lortzen badu ere, ezin ditu zure fitxategiak irakurri. Zuk gordetzen dituzu enkriptatze-gakoak. Beraiek zifrotestu bakarrik gordetzen dute. Irakurri gure zero-knowledge ikuspena.

4. Maila - Tokiko prozesatzea: Zure dokumentuak ez dira inoiz zure sistemetatik ateratzen. Prozesatzea tokiko hardwarean edo gobernuak kontrolatutako makinetan egiten da. Hau da alemaniako SGB V, suitzako banku-sekretua eta BfDI arauak guztiz betetzeko modu bakarra. Ikusi gure prezio-planak Desktop App aukeretarako.

DPIA-k TikTok-en Ondoren

GDPR 35. Artikuluak Datu-Babesen Eragin-Ebaluazioa eskatzen du arrisku handiko prozesamendu-kasuentzat. Honi DPIA deritzo. Erabiltzaile-fitxategiak hirugarren-herrialdeko prozesatzaileengana doazenean, transferentziaren eragin-ebaluazioa ere behar da.

TikTok-en ondoren, hodei de-identifikazio tresnetarako DPIA-k lau galderari erantzun behar diete.

Guraso-jurisdikzioa: Saltzailearen gurasoa CLOUD Act, Txinako zibersegurtasun-legerena bezalako legeen menpean al dago, EB-ko erabiltzaile-fitxategiak eman ditzaketenak?

Langile-sarbidea: Egokitasun-erabakiik gabeko herrialdetako langileek EB-ko erabiltzaile-fitxategietara ohiko operazioetan sartzen al dira?

Oinarri juridikoa: Zer GDPR 46. Artikuluen mekanismo estaltzen ditu transferentziak - SCC-ak, BCR-ak edo salbuespenak?

Hauste-eragina: Saltzailea hackeatuta badago edo dokumentuak ematera behartua badago, zer agertzen da?

TikTok-ek erakutsi zuen kontratuak bakarrik ez direla nahikoa. Egokitasuna aztertu behar duzu. Erantzunak dokumentatu. Arakatu gure FAQ ohizko DPIA galderetarako.

2026ko Erosketa-Galderak

DPO-ek galdera oso zehatzak egiten dituzte orain datu pertsonalen prozesatze-tresnetarako SaaS saltzaileak berrikusten dituztenean.

  • Non daude zerbitzariak? (EB?)
  • Non dago gurasoa? (EB? AEB? Beste batzuk?)
  • EB-tik kanpoko langileek EB-ko bezero-fitxategietara sartzen al dira?
  • Zer legek gidatzen du dokumentu pertsonalak lortzeko agindua?
  • Saltzaileak gordetzen al ditu enkriptatze-gakoak, ala zuk?
  • Ba al dago tokiko prozesatzearen aukera?

Galdera hauen erantzunak - ez DPA sinadura bakarrik - datu-subiranotasunaren benetako lerrokatze zehazten dute. Ikasi nola anonym.legal horiei guztiei erantzuteko eraiki zen gure sortzailearen adierazpenean. Baita arakatu dezakezu gure termino-glosarioa SCC-en, BCR-en eta egokitasun-erabakien definizio azkarretarako.

TikTok-en ondorengo ingurunea argia da. Erregulatzaileek mugaz gaindiko transferentziak zorrotz ikuskatzen dituzte. Isunak handiak dira. Hazten ari dira. Zure saltzaile-hautua erregulazio-erabaki bat da. Ez da soilik erabaki tekniko bat.

anonym.legal-ek EB-ko Hetzner datu-zentroak erabiltzen ditu zero-knowledge diseinuarekin. Zerbitzariak ez du inoiz zure testu-eduki arrunta ikusten. Zerbitzari-hauste osoak AES-256-GCM zifrotestua bakarrik ematen du. Tokiko soilik prozesatzea behar al duzu? Desktop App-ak zure gailuan exekutatzen da kanpoko konexiorik gabe.

Iturriak

Lotutako Artikuluak

GDPR & Betetze

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Betetze

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Betetze

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.