anonym.legal

By · Last updated 2026-03-06

بازگشت به وبلاگGDPR و انطباق

جریمه ۵۳۰ میلیون یورویی TikTok: حاکمیت داده GDPR

جریمه ۵۳۰ میلیون یورویی TikTok توسط کمیسیون حفاظت از داده ایرلند به خاطر انتقال داده اتحادیه اروپا به چین، دوران جدیدی در اجرای حاکمیت داده را آغاز کرده است. با ۵.۶۵ میلیارد یورو جریمه‌های GDPR تا سال ۲۰۲۵، انتخاب فروشنده اکنون یک تصمیم نظارتی است.

March 6, 20269 دقیقه مطالعه
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

حکم TikTok که حاکمیت داده را تغییر داد

به‌روز شده برای ۲۰۲۶

در مه ۲۰۲۵، کمیسیون حفاظت از داده ایرلند TikTok را ۵۳۰ میلیون یورو جریمه کرد. دلیل ساده بود: TikTok اطلاعات کاربران اتحادیه اروپا را بدون تضمین‌های مناسب به چین ارسال کرده بود.

این دومین جریمه تکی بزرگ GDPR در تاریخ است. تنها جریمه ۱.۲ میلیارد یورویی Meta در ۲۰۲۳ بزرگ‌تر است. DPC ایرلند آن را هم صادر کرد — به خاطر ارسال اطلاعات اتحادیه اروپا به سرورهای فیسبوک در آمریکا.

هر دو پرونده الگوی مشترکی دارند. انتقال‌های فرامرزی بدون تضمین مناسب بزرگ‌ترین جریمه‌ها را به دنبال دارند. مقامات نظارتی تا زمانی که شرکت‌ها تغییر کنند به فشار ادامه خواهند داد.

مجموع جریمه‌های GDPR تا سال ۲۰۲۵ به ۵.۶۵ میلیارد یورو رسید. اجرا دیگر یک ریسک پس‌زمینه نیست. یک هزینه فعال کسب‌وکار است. برای مرور عملی، راهنمای انطباق GDPR ما را ببینید.

آنچه پرونده TikTok مشخص کرد

این پرونده درباره نقض داده نبود. درباره اینکه اطلاعات کاربران به کجا می‌روند و مبنای قانونی انتقال فرامرزی بود.

TikTok اطلاعات کاربران اتحادیه اروپا را روی سرورها ذخیره می‌کرد. کارکنان در چین به آن سرورها دسترسی داشتند. مواد ۴۴ تا ۴۶ GDPR انتقال به کشورهایی که تصمیم کفایت اتحادیه اروپا ندارند را محدود می‌کند. چین چنین تصمیمی ندارد. TikTok ادعا کرد اقدامات فنی کافی دارد. مقامات نظارتی موافق نبودند.

درس ساده است. میزبانی در اتحادیه اروپا کافی نیست اگر کارکنان خارج از اتحادیه بتوانند به اطلاعات دسترسی داشته باشند. کافی نیست اگر شرکت ملزم به رعایت قوانین کشوری غیر از کشورهای دارای تصمیم کفایت باشد.

این موضوع وقتی فروشنده SaaS انتخاب می‌کنید اهمیت دارد. یک فروشنده ممکن است بگوید «ما در اتحادیه اروپا میزبانی می‌کنیم.» اما اگر شرکت مادر آن‌ها جای دیگری باشد، همین ریسک اعمال می‌شود. اگر کارکنان پشتیبانی‌شان از خارج از اتحادیه به اطلاعات کاربران دسترسی داشته باشند، همین ریسک اعمال می‌شود. مشتریان آن‌ها نیز این ریسک را می‌پذیرند. پیش از امضای DPA، چک‌لیست هم‌راستایی انطباق ما را بررسی کنید.

جریمه‌های GDPR: ۵.۶۵ میلیارد یورو و در حال افزایش

اقدام اجراییجریمهسالدلایل
Meta (فیسبوک) — DPC۱.۲ میلیارد یورو۲۰۲۳انتقال‌های غیرقانونی EU-US
TikTok — DPC۵۳۰ میلیون یورو۲۰۲۵انتقال EU-چین
Amazon — CNPD لوکزامبورگ۷۴۶ میلیون یورو۲۰۲۱هدف‌گیری تبلیغاتی
WhatsApp — DPC۲۲۵ میلیون یورو۲۰۲۱نقص شفافیت
Google — CNIL فرانسه۱۵۰ میلیون یورو۲۰۲۲رضایت کوکی

مقامات نظارتی از تعیین قوانین به اجرای آن‌ها منتقل شده‌اند. تخلفات انتقال اکنون بزرگ‌ترین جریمه‌ها را جذب می‌کنند. نحوه مدیریت امنیت و تضمین‌ها را بخوانید.

آلمان، سوئیس، و قوانین بخشی

مواد ۴۴ تا ۴۶ GDPR برای همه بخش‌ها اعمال می‌شود. اما برخی صنایع علاوه بر GDPR قوانین اضافی دارند.

بهداشت آلمان: کتاب پنجم قانون اجتماعی (SGB V) اسناد بهداشتی را به سیستم‌های تحت کنترل آلمانی محدود می‌کند. یک بیمه‌گر آلمانی ممکن است از یک ابزار حذف اطلاعات ابری در دوبلین استفاده کند — این اتحادیه اروپا است. اما اگر مالک ابزار شرکتی غیر آلمانی باشد، ممکن است SGB V را نقض کند.

بانکداری سوئیس: ماده ۴۷ قانون بانکداری اشتراک‌گذاری اسناد مشتریان با طرف‌های خارجی را ممنوع می‌کند. این شامل ارائه‌دهندگان ابری بدون رضایت صریح مشتری می‌شود. اطلاعات مشتریان بانک سوئیسی، حتی در یک ابزار میزبانی‌شده در اتحادیه اروپا، ممکن است این قانون را فعال کند.

بخش دولتی آلمان: راهنمایی BfDI اسناد دولتی را به سیستم‌های دولتی محدود می‌کند. یک ابزار حذف اطلاعات روی سرورهای اتحادیه اروپا یک ارائه‌دهنده ابری تجاری این استاندارد را برآورده نمی‌کند.

درس: هم‌راستایی GDPR کف است، نه سقف. بسیاری از بخش‌ها قوانین سخت‌گیرانه‌تری دارند. مرور پردازش موجودیت‌ها ما نشان می‌دهد کدام قوانین بر اساس بخش اعمال می‌شوند.

چه کشوری تصمیم کفایت دارد؟

GDPR به کشورها اجازه می‌دهد اطلاعات کاربران را آزادانه مبادله کنند اگر کمیسیون اروپا تأیید کند که سطح حفاظت برابری ارائه می‌دهند. این کشورها واجد شرایط هستند:

آندورا، آرژانتین، کانادا (گروه‌های تجاری)، جزایر فارو، گرنزی، اسرائیل، جزیره مان، ژاپن، جرسی، نیوزیلند، کره جنوبی، سوئیس، انگلستان، اروگوئه، و آمریکا (چارچوب حریم خصوصی داده).

این کشورها واجد شرایط نیستند: چین، هند، روسیه، برزیل، اکثر آسیا-اقیانوسیه، اکثر خاورمیانه، اکثر آفریقا.

چارچوب حریم خصوصی داده EU-US دوباره اجرایی است. اما همچنان در دادگاه به چالش کشیده می‌شود. همان استدلال‌های حقوقی Safe Harbor (Schrems I) و Privacy Shield (Schrems II) را از بین برد. شرکت‌هایی که از این چارچوب استفاده می‌کنند باید برای بطلان مجدد برنامه‌ریزی کنند.

چهار سطح حفاظت برای انتخاب ابزار

پرونده‌های TikTok و Meta یک رتبه‌بندی روشن برای ارزیابی ابزارهای SaaS ایجاد می‌کنند.

سطح ۱ — میزبانی اتحادیه اروپا: اطلاعات کاربران در سرورهای اتحادیه اروپا پردازش و ذخیره می‌شوند. این برای اغلب موارد استفاده، پایه GDPR را برآورده می‌کند.

سطح ۲ — اپراتور مستقر در اتحادیه اروپا: شرکت مادر فروشنده در اتحادیه اروپا است. مشمول قوانین کشور غیر دارای تصمیم کفایت نیست. این مشکل TikTok را حل می‌کند. میزبانی اتحادیه اروپا همراه با مواجهه با قانون چین برای شرکت مادر ایمن نیست.

سطح ۳ — طراحی بدون دانش: حتی اگر فروشنده هک شود یا دستور قضایی دریافت کند، نمی‌تواند اطلاعات شما را بخواند. کلیدهای رمزگذاری را شما نگه می‌دارید. آن‌ها تنها متن رمزگذاری‌شده دارند. درباره رویکرد بدون دانش ما بخوانید.

سطح ۴ — پردازش محلی: اسناد شما هرگز از سیستم‌های خودتان خارج نمی‌شوند. پردازش روی سخت‌افزار محلی یا ماشین‌های کنترل‌شده دولتی اجرا می‌شود. این تنها راه برای برآوردن کامل SGB V آلمان، رازداری بانکی سوئیس، و قوانین BfDI است. برای گزینه‌های Desktop App، پلن‌های قیمت‌گذاری ما را ببینید.

DPIAها پس از TikTok

ماده ۳۵ GDPR برای پردازش پرخطر یک ارزیابی تأثیر حفاظت از داده (DPIA) الزام می‌کند. وقتی اطلاعات کاربران به پردازشگران کشور ثالث می‌روند، به یک ارزیابی تأثیر انتقال نیز نیاز دارید.

پس از TikTok، DPIAها برای ابزارهای حذف ابری باید به چهار سوال پاسخ دهند.

صلاحیت قضایی شرکت مادر: آیا شرکت مادر فروشنده مشمول قوانینی است — مانند CLOUD Act یا قانون امنیت سایبری چین — که بتوانند آن‌ها را مجبور به تحویل اطلاعات کاربران اتحادیه اروپا کنند؟

دسترسی کارکنان: آیا کارکنان در کشورهای غیر دارای تصمیم کفایت در عملیات عادی به اطلاعات کاربران اتحادیه اروپا دسترسی دارند؟

مبنای قانونی: چه مکانیسم ماده ۴۶ GDPR انتقال‌ها را پوشش می‌دهد — SCC، BCR، یا استثناها؟

تأثیر نقض: اگر فروشنده هک شود یا مجبور به تحویل اسناد شود، چه چیزی افشا می‌شود؟

TikTok نشان داد که قراردادها به تنهایی کافی نیستند. باید آن‌ها را از نظر کفایت ارزیابی کنید. پاسخ‌هایتان را مستند کنید. برای سوالات رایج DPIA، مرکز پرسش‌های متداول ما را مرور کنید.

سوالات خرید ۲۰۲۶

مسئولان حفاظت از داده (DPO) هنگام بررسی فروشندگان SaaS برای ابزارهای پردازش اطلاعات شخصی، سوالات بسیار مشخصی می‌پرسند.

  • سرورها کجا هستند؟ (اتحادیه اروپا؟)
  • شرکت مادر کجا است؟ (اتحادیه اروپا؟ آمریکا؟ سایر؟)
  • آیا کارکنان غیر اتحادیه اروپایی به اطلاعات مشتریان اتحادیه اروپا دسترسی دارند؟
  • چه قانونی بر دستورات قضایی درباره اسناد شخصی حاکم است؟
  • آیا فروشنده کلیدهای رمزگذاری را نگه می‌دارد یا شما؟
  • آیا گزینه پردازش محلی وجود دارد؟

پاسخ‌های این سوالات — نه صرف امضای DPA — هم‌راستایی واقعی حاکمیت را مشخص می‌کنند. در بیانیه بنیان‌گذار بیاموزید که anonym.legal چگونه ساخته شده تا به همه آن‌ها پاسخ دهد. همچنین می‌توانید واژه‌نامه اصطلاحات کلیدی ما را برای تعاریف سریع SCC، BCR، و تصمیمات کفایت مرور کنید.

محیط پس از TikTok روشن است. مقامات نظارتی انتقال‌های فرامرزی را با دقت زیر نظر دارند. جریمه‌ها بزرگ هستند. در حال افزایش هستند. انتخاب فروشنده شما اکنون یک تصمیم نظارتی است. نه صرفاً یک تصمیم فنی.

anonym.legal از مراکز داده Hetzner مستقر در اتحادیه اروپا با طراحی بدون دانش استفاده می‌کند. سرور هرگز محتوای متنی شما را نمی‌بیند. یک نقض کامل سرور تنها AES-256-GCM ciphertext را به دست می‌دهد. به پردازش کاملاً محلی نیاز دارید؟ Desktop App به طور کامل روی دستگاه شما اجرا می‌شود و هیچ اتصال خارجی ندارد.

منابع

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.