anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگGDPR و انطباق

DPC ایرلند: ۸۰٪ جریمه‌های کلان GDPR در اتحادیه اروپا

۵۳۰ میلیون یورو TikTok، ۳۱۰ میلیون یورو LinkedIn، ۲۵۱ میلیون یورو Meta — همه از DPC ایرلند. اینجا توضیح می‌دهیم چرا ایرلند دفاتر اصلی اتحادیه اروپای شرکت‌های بزرگ فناوری را میزبانی می‌کند و اجرای قانون DPC برای SaaS چه معنایی دارد.

June 5, 20268 دقیقه مطالعه
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

چرا ایرلند اجرای اتحادیه اروپا را رهبری می‌کند

کمیسیون حفاظت داده ایرلند (DPC) نهاد پیشرو برای اکثر شرکت‌های بزرگ فناوری اتحادیه اروپا است. این تصادفی نیست.

نرخ مالیاتی پایین ایرلند Apple، Google، Meta، LinkedIn، و TikTok را جذب کرد. همه دفاتر اصلی اتحادیه اروپای خود را در آنجا تأسیس کردند.

ماده ۶۰ GDPR DPC را نهاد پیشرو برای این شرکت‌ها قرار می‌دهد. سه نتیجه از این قانون پیروی می‌کند.

اول، یک شکایت در آلمان درباره Facebook به DPC ایرلند می‌رود، نه به BfDI آلمان. دوم، DPC با سایر نهادهای اتحادیه اروپا در پرونده‌های بین‌المللی همکاری می‌کند. سوم، یک حکم DPC علیه Meta در سراسر اتحادیه اروپا اعمال می‌شود.

نتیجه روشن است. DPC ارزش جریمه بیشتری نسبت به همه نهادهای اتحادیه اروپا روی هم صادر کرده است. نمای کلی انطباق GDPR ما را ببینید که این چگونه تصمیمات انتخاب فروشنده را شکل می‌دهد.

سه جریمه که سال‌های ۲۰۲۴–۲۰۲۵ را تعریف می‌کنند

۵۳۰ میلیون یورو علیه TikTok (مه ۲۰۲۵): مهندسان چینی به سوابق کاربران اتحادیه اروپا دسترسی داشتند. این مواد ۴۴ تا ۴۶ GDPR را نقض کرد. این مواد انتقال به کشورهایی بدون حکم کفایت اتحادیه اروپا را محدود می‌کنند. چین هیچ کدام ندارد. TikTok ادعا کرد کنترل‌های کافی دارد. DPC گفت ندارد.

۳۱۰ میلیون یورو علیه LinkedIn (اکتبر ۲۰۲۴): LinkedIn برای تحلیل رفتار به «علاقه مشروع» متکی بود. DPC این را نامعتبر یافت. پردازش برای هدف اعلام‌شده لازم نبود. آزمون تعادل به نفع LinkedIn نبود.

۲۵۱ میلیون یورو علیه Meta (نوامبر ۲۰۲۴): نقض Facebook در سال ۲۰۱۸ به موقع به DPC گزارش نشد. DPC همچنین دریافت که گزارش‌های حسابرسی ضعیف اندازه‌گیری آنچه افشا شده را غیرممکن کرد.

این سه به جریمه قبلی ۱.۲ میلیارد یورویی Meta از مه ۲۰۲۳ اضافه شدند. آن جریمه هم از DPC بود، برای انتقالات غیرقانونی اتحادیه اروپا-آمریکا. این همچنان بزرگترین جریمه GDPR تاکنون صادرشده است.

DPC در سال ۲۰۲۴ بیش از ۸,۵۰۰ پرونده بین‌المللی را مدیریت کرد. صفحه امنیت و انطباق ما را مرور کنید تا ببینید طراحی دانش-صفر هر شکست را چگونه رفع می‌کند.

آنچه هر جریمه آشکار می‌کند

شکست‌های دسترسی بین‌المللی

هر سه جریمه یک مشکل اصلی مشترک دارند. سوابق شخصی برای کارکنانی در کشورهایی بدون قوانین حریم خصوصی سطح اتحادیه اروپا باز بود.

جریمه TikTok مستقیم بود. پرونده‌های کاربر اتحادیه اروپا علی‌رغم کنترل‌های اعلام‌شده به مهندسان چینی رسید.

آنچه این برای انتخاب فروشنده معنا دارد: بپرسید آیا مهندسان غیر-اتحادیه اروپایی می‌توانند به سوابق کاربران اتحادیه اروپا در کارهای عادی دسترسی داشته باشند. یک فروشنده ممکن است در دابلین میزبانی کند اما هنوز پرونده‌های اتحادیه اروپا را از طریق کارکنان پشتیبانی مستقر در آمریکا در معرض خطر بگذارد. اقامت در اتحادیه اروپا به تنهایی کافی نیست. راهنمای پردازش موجودیت ما نشان می‌دهد که کنترل‌های دسترسی چگونه به ماده ۴۶ GDPR نگاشت می‌شوند.

شکست‌های مبنای قانونی

جریمه LinkedIn درباره نقض نبود. درباره نحوه توجیه LinkedIn از پردازش خود بود.

«علاقه مشروع» یک حق کلی نیست. کنترل‌کنندگان باید یک آزمون تعادل واقعی را مستند کنند. آن آزمون باید نشان دهد که علاقه آن‌ها بر حقوق کاربر برتری دارد. صفحه انطباق ما نحوه بررسی ادعاهای مبنای قانونی فروشنده را پوشش می‌دهد.

شکست‌های گزارش و اطلاع‌رسانی

جریمه ۲۵۱ میلیون یورویی Meta یک یافته کلیدی داشت. گزارش‌های حسابرسی ضعیف اندازه‌گیری دامنه نقض را غیرممکن کرد.

ماده ۳۳ GDPR نیاز به اطلاع‌رسانی نقض ظرف ۷۲ ساعت دارد. آن اطلاع‌رسانی باید دامنه سوابق تحت تأثیر را شامل شود. نمی‌توانید دامنه‌ای را که نمی‌توانید اندازه بگیرید گزارش دهید.

از فروشندگان بالقوه درباره ساختار گزارش حسابرسی آن‌ها بپرسید. اگر یک فروشنده نمی‌تواند پس از یک حادثه پاسخ دهد «کدام سوابق افشا شدند؟»، آن‌ها ماده ۳۳(۳)(ب) را نقض می‌کنند.

الگو در پرونده‌های DPC

به همه چهار جریمه بزرگ DPC نگاه کنید و یک الگو ظاهر می‌شود. نهادهای نظارتی علیه طراحی‌هایی اقدام می‌کنند که در آن مهندسان فروشنده می‌توانند محتوای کاربر را ببینند. هر جریمه بزرگ شامل دسترسی کنترل‌نشده به سوابق شخصی بود.

طراحی دانش-صفر نگرانی اصلی در هر پرونده را برطرف می‌کند. محتوای کاربر رمزگذاری شده است. فروشنده هیچ کلید رمزگشایی ندارد.

برای پرونده‌های انتقال TikTok و Meta، مهندسان غیر-اتحادیه اروپایی به سرور دسترسی دارند اما فقط متن رمزگذاری‌شده می‌بینند. هیچ سوابق قابل خواندنی افشا نمی‌شود. برای پرونده نقض Meta، یک سازش کامل سرور هیچ چیز مفیدی تولید نمی‌کند. دامنه نقض کاهش می‌یابد. برای LinkedIn، فروشنده‌ای که هرگز متن ساده نمی‌بیند نمی‌تواند تحلیل رفتاری روی آن اجرا کند.

این پاسخ مستقیم به هر اقدام DPC است. برای جزئیات نمای کلی امنیت ما را ببینید، یا بیانیه بنیانگذار ما را بخوانید که چرا anonym.legal از همان روز اول این‌طور ساخته شد.

«استقرار اصلی» چه معنایی دارد

برخی شرکت‌ها ساختار اتحادیه اروپایی خود را برای کنترل اینکه کدام DPA صلاحیت دارد هدایت می‌کنند. دیدگاه DPC اینجا مهم است.

«استقرار اصلی» فقط یک آدرس شرکت نیست. جایی است که مدیریت مرکزی اتحادیه اروپا قرار دارد. برای کنترل‌کنندگان، جایی است که تصمیمات درباره اهداف پردازش گرفته می‌شود.

یک شرکت با تیم حریم خصوصی لندن ممکن است هیچ استقرار اصلی اتحادیه اروپا نداشته باشد. DPA هر دولت عضو می‌تواند برای شکایت‌های محلی اقتدار اعلام کند.

سؤالات بررسی فروشنده

از این سؤالات هنگام ارزیابی فروشندگان SaaS که سوابق شخصی را مدیریت می‌کنند استفاده کنید.

صلاحیت و دسترسی:

  • استقرار اصلی اتحادیه اروپای فروشنده کجاست؟
  • آیا کارکنان غیر-اتحادیه اروپایی می‌توانند در کارهای عادی به سوابق کاربران اتحادیه اروپا دسترسی داشته باشند؟
  • آیا شرکت مادر فروشنده مشمول CLOUD Act آمریکا یا قوانین امنیتی چین است؟

طراحی فنی:

  • آیا محتوای کاربر اتحادیه اروپا روی سرورهای مستقر در اتحادیه اروپا باقی می‌ماند؟
  • آیا فروشنده کلیدهای رمزنگاری را نگه می‌دارد، یا مشتری؟
  • آیا گزارش‌های حسابرسی به اندازه کافی دقیق هستند که دامنه نقض را اندازه بگیرند؟

سوابق انتقال:

  • کدام مکانیزم ماده ۴۶ GDPR هر جریان اتحادیه اروپا-آمریکا را پوشش می‌دهد؟
  • آیا فروشنده یک ارزیابی تأثیر انتقال انجام داده است؟
  • چه اقدامات فنی اضافی در جای خود هستند؟

اجرای DPC در یک نقطه ثابت است. حتی شرکت‌هایی با تیم‌های حریم خصوصی و DPO‌ها با جریمه‌های بزرگی روبرو می‌شوند که طراحی فنی آن‌ها با ادعاهایشان مطابقت ندارد. برای اطلاعات بیشتر مطالعات موردی و سؤالات متداول ما را ببینید.

anonym.legal از سرورهای Hetzner مستقر در اتحادیه اروپا با طراحی دانش-صفر استفاده می‌کند. سرورها فقط رمزنگاری AES-256-GCM را نگه می‌دارند. یک نقض کامل هیچ سوابق قابل خواندنی را آشکار نمی‌کند. اپلیکیشن دسکتاپ محتوا را روی دستگاه پردازش می‌کند بدون هیچ اتصال خارجی.

منابع

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.