TikTokin ennakkotapaus
Irlannin tietosuojaviranomaisen toukokuussa 2025 määräämä 530 miljoonan euron sakko TikTokille Euroopan talousalueen käyttäjätietojen siirtämisestä Kiinaan loi täytäntöönpanon ennakkotapauksen, joka ulottuu sosiaalisen median yritysten ulkopuolelle. DPC:n havainto: TikTok rikkoi GDPR:n artiklaa 46(1) siirtämällä henkilötietoja kolmanteen maahan — Kiinaan — ilman riittäviä suojatoimia. Siirto oli rikkomus, ei tietojen kerääminen tai käsittely, joka seurasi.
Ennakkotapauksen laajuus: mikä tahansa EU:n henkilötietojen siirto EU:n ulkopuoliselle palvelimelle käsittelyä varten — mukaan lukien käsittely laillisella, vaatimustenmukaisella työkalulla — on tietosiirto GDPR:n artiklojen 44-49 mukaan. Siirto vaatii joko riittävyyspäätöksen (EU on katsonut vastaanottavan maan tietosuojan riittäväksi), standardisopimusehtoja (sopimukselliset suojat vastaanottajalle), sitovia yrityssääntöjä (hyväksytty sisäinen monikansallinen kehys) tai muuta artikla 46 -mekanismia.
Kumulatiiviset GDPR-sakot saavuttivat 5,65 miljardia euroa vuoteen 2025 mennessä. Tietosiirto rikkomukset keskimäärin 18 miljoonaa euroa per täytäntöönpanotoimi (DLA Piper 2025), mikä tekee niistä korkeimman riskin täytäntöönpanokategorioita.
Anonymisointityökalun paradoksi
Organisaatio, joka käyttää Yhdysvalloissa sijaitsevaa SaaS-anonymisointityökalua EU:n asiakastietojen käsittelyyn, kohtaa rakenteellisen GDPR-ongelman. Työnkulku: EU:n asiakastiedot ladataan anonymisointityökalun Yhdysvaltojen palvelimille, käsitellään ja palautetaan anonymisoituna. Anonymisoitu data tallennetaan ja käytetään EU:ssa. Raaka henkilötieto — alkuperäinen EU:n asiakastieto — kulki Yhdysvaltojen palvelimien kautta käsittelyvaiheessa.
Tämä siirto on tietosiirto GDPR:n mukaan. Organisaation aikomus (anonymisoida tiedot vaatimustenmukaisuus tarkoituksiin) ei poista artiklojen 44-49 analyysiä. Se, että tiedot anonymisoitiin myöhemmin, ei kumoa ennen anonymisoitujen henkilötietojen siirtoa.
Irlannin DPC:n TikTok-analyysi on suoraan sovellettavissa: rikkomus on henkilötietojen siirto EU:n ulkopuoliselle palvelimelle, riippumatta siitä, mitä käsittelyä vastaanottavalla palvelimella tapahtuu. Yhdysvalloissa sijaitseva anonymisointityökalu, joka vastaanottaa EU:n henkilötietoja Yhdysvaltojen palvelimilla, on vastaanottanut siirron EU:n henkilötiedoista. Työkalua käyttävän organisaation on saatava sama riittävyyspäätös, SCC:t tai BCR:t kuin muilla tietosiirroilla.
Nollatietämyksen arkkitehtuurin ratkaisu
Ratkaisu on arkkitehtoninen: anonymisointityökalu, joka ei koskaan vastaanota henkilötietoja, ei voi olla tietosiirron syy. Nollatietämyksen lähestymistapa — jossa PII-tunnistus ja korvaaminen tapahtuvat asiakaspuolella, ja vain anonymisoitu tuloste lähetetään tai tallennetaan työkalun palvelimille — poistaa tietosiirtohuolen.
Nollatietämyksen arkkitehtuurin mukaan: asiakkaan raaka EU:n henkilötieto käsitellään käyttäjän selaimessa tai paikallisessa sovelluksessa. PII-tunnistus tapahtuu paikallisesti. Anonymisoitu tuloste (jossa oikeat PII:t on korvattu tokeneilla tai salatuilla arvoilla) on ainoa tieto, joka lähetetään palvelimelle. Palvelin vastaanottaa anonymisoituja tietoja — tietoja, jotka, jos anonymisointi on täydellinen, eivät ole henkilötietoja GDPR:n mukaan.
Organisaatioille, jotka dokumentoivat artikla 30 ROPA:aan (Käsittelytoimintojen rekisterit), tämä arkkitehtoninen ero on tärkeä: ROPA-kirjaus EU-palvelimelle, nollatietämyksen anonymisointityökalulle ei rekisteröi rajat ylittävää siirtoa. ROPA-kirjaus Yhdysvaltojen palvelimelle anonymisointityökalulle, joka vastaanottaa raakoja henkilötietoja, rekisteröi rajat ylittävän siirron, joka vaatii oikeudellisen perustan dokumentointia.
Lähteet: