anonym.legal

By · Last updated 2026-06-05

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

Irlannin DPC: 80 % EU:n suurimmista GDPR-sakoista

€530M TikTok, €310M LinkedIn, €251M Meta — kaikki Irlannin DPC:ltä. Näin Irlannin suuryritysten EU-päämajat vaikuttavat GDPR-täytäntöönpanoon.

June 5, 20268 min lukuaika
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Miksi Irlanti hallitsee EU:n GDPR-täytäntöönpanoa

Irlantilainen Data Protection Commission (DPC) on useimpien EU:n suurten teknologiayhtiöiden pääasiallinen valvontaviranomainen. Tämä keskittyminen ei ole sattumaa — se heijastaa Irlannin aggressiivista yritysveropolitiikkaa ja englanninkielistä oikeudellista ympäristöä, jotka houkuttelivat Applen, Googlen, Metan, Microsoftin, LinkedInin, WhatsAppin, TikTokin, Twitter/X:n ja kymmeniä muita teknologiayhtiöitä perustamaan EU-pääkonttorinsa Irlantiin.

GDPR:n "yhden luukun" mekanismin nojalla (60 artikla) DPC toimii pääasiallisena valvontaviranomaisena kaikille yhtiöille, joiden EU:n pääasiallinen toimipaikka sijaitsee Irlannissa. Tämä tarkoittaa:

  • Saksassa Facebookia vastaan tehty valitus menee Irlannin DPC:lle, ei Saksan BfDI:lle
  • DPC koordinoi muiden EU:n tietosuojaviranomaisten kanssa (asianomaisten viranomaisten kanssa) rajat ylittävissä tapauksissa
  • DPC:n täytäntöönpanopäätökset sitovat koko EU:ta — DPC:n päätös Metaa vastaan koskee koko EU:ta

Tuloksena on, että DPC on antanut enemmän GDPR-sakkojen arvoa kuin kaikki muut EU:n tietosuojaviranomaiset yhteensä:

  • €530M TikTokia vastaan (toukokuu 2025): EU-käyttäjätietojen laiton siirto Kiinaan
  • €310M LinkedIniä vastaan (lokakuu 2024): Lainvastainen tietojenkäsittely käyttäytymisanalyysiä varten
  • €251M Metaa vastaan (marraskuu 2024): Tietomurtoilmoitusten laiminlyönti ja riittämätön tietoturva
  • €1,2B Metaa/Facebookia vastaan (toukokuu 2023): Kaikkien aikojen suurin GDPR-sakko — EU–USA-tiedonsiirrot

DPC käsitteli yli 8 500 rajat ylittävää tapausta vuonna 2024 — tapausmäärä, joka heijastaa sekä EU:n suurten teknologiayhtiöiden keskittymistä Irlantiin että DPC:n laajennettuja täytäntöönpanoresursseja.

Mitä DPC:n täytäntöönpano kertoo toimittajien valinnasta

DPC:n täytäntöönpanomalli paljastaa, mitä teknisiä epäonnistumisia EU:n viranomaiset pitävät vakavimpina:

1. Rajat ylittävät tiedonsiirrot (TikTok, Meta, LinkedIn): DPC:n suurimmat sakot liittyvät kaikki tiedonsiirtorikkomuksiin — EU-käyttäjätietojen lähettämiseen palvelimille maissa, joissa ei ole riittävää tietosuojaa (USA, Kiina). TikTok-sakko koski nimenomaisesti sitä, että EU-käyttäjätiedot olivat kiinalaisten insinöörien käytettävissä TikTokin omien väitettyjen suojatoimenpiteiden vastaisesti.

Toimittajien valintaan liittyvä seuraus: Mikä tahansa SaaS-toimittaja, jonka EU-tiedot saattavat olla EU:n ulkopuolisen henkilöstön käytettävissä — jopa teknisen tuen, virheenkorjauksen tai insinöörityön kautta — kohtaa potentiaalisen DPC-riskin. EU:n tietojen sijainnit teknisillä pääsykontroleilla, jotka estävät EU:n ulkopuolisen pääsyn, on vaatimustenmukainen arkkitehtuuri.

2. Tietomurtoilmoitusten laiminlyönti (Meta): Metan €251 miljoonan sakko sisälsi havainnon, että vuoden 2018 Facebook-tietomurtoa ei ilmoitettu DPC:lle viipymättä ja että turvatoimenpiteet olivat riittämättömiä. DPC totesi, että "yksityiskohtaisen lokauksen puuttuminen" teki mahdottomaksi määrittää murron täydellinen laajuus.

Toimittajien valintaan liittyvä seuraus: Henkilötietoja käsittelevien SaaS-toimittajien on oltava riittävät tarkistuslokit murron laajuuden määrittämiseksi. Toimittajat, joilla ei ole yksityiskohtaisia tarkistuslokeja, eivät voi täyttää GDPR:n 33(3)(b) artiklan mukaisia tietomurtoilmoitusvaatimuksia.

3. Oikeusperustan puutteet (LinkedIn): LinkedInin €310 miljoonan sakko totesi, että LinkedInin "oikeutettuun etuun" perustuvat vaatimukset käyttäytymisanalyysiä varten olivat pätemättömiä — käsittely ei ollut välttämätöntä väitetyille tarkoituksille, eikä tasapainotestin tulos suosinut LinkedIniä.

Toimittajien valintaan liittyvä seuraus: "Oikeutettu etu" ei ole kattava peruste tekoäly- ja analytiikkakäsittelylle. Organisaatioiden on suoritettava dokumentoidut tasapainotestit osoittaen, että niiden edut todella ylittävät rekisteröidyn edut.

DPC-tapauksista nouseva "nollatiedon" standardi

DPC:n merkittävien tapausten tarkastelu paljastaa teknisen standardin: tiedot, joihin toimittajan insinööreillä ei ole kryptografisesti pääsyä, täyttävät jokaisen merkittävän DPC-täytäntöönpanotapauksen keskeisen huolen.

TikTok: Kiinalaisilla insinööreillä oli pääsy EU-käyttäjätietoihin, koska heillä oli tekninen pääsy EU-palvelimille. Nollatietoarkkitehtuuri — jossa EU-palvelimet pitävät vain salattuja tietoja ilman salauksen purkukykyä — olisi estänyt rikkomuksen.

Meta (Facebook-murto): Riittämätön lokaus teki murron laajuudesta määrittämättömän. Nollatietoarkkitehtuuri tarjoaa lisäedun, että vaikka palvelimet murretaan, salatut tiedot eivät ole hyödyllisiä hyökkääjille — vähentäen tietomurtoilmoituksen laajuutta.

Meta (EU–USA-siirrot): EU-käyttäjätiedot olivat yhdysvaltalaisille insinööreille käytettävissä. Jos EU-käyttäjätiedot olisivat olleet salattu vain käyttäjien hallussaan olevilla avaimilla (nollatietotieto), yhdysvaltalaiset insinöörit, jotka pääsivät EU-palvelimille, olisivat nähneet vain salatekstiä — ei henkilötietoja.

Organisaatioille, jotka valitsevat SaaS-toimittajia arkaluonteisten EU-henkilötietojen käsittelyyn: nollatietoarkkitehtuuri (jossa toimittajalla ei ole salauksen purkuavaimia) on puolustettavin tekninen asema DPC-vaatimustenmukaisuuden kannalta.

DPC:n toimivalta: mitä "pääasiallinen toimipaikka" tarkoittaa

Organisaatioille, jotka harkitsevat EU-toimintojensa siirtämistä tietosuojaviranomaisen toimivallan perusteella, DPC:n tulkinta "pääasiallisesta toimipaikasta" on merkityksellinen:

"Pääasiallinen toimipaikka" tarkoittaa paikkaa, jossa organisaation EU:n keskushallinto sijaitsee, tai (rekisterinpitäjän osalta) paikkaa, jossa tehdään päätökset käsittelyn tarkoituksista ja keinoista. Sitä ei määritä yksinomaan rekisteröity osoite.

Jos yrityksen GDPR-päätökset tehdään Lontoossa toimivalla tietosuojatyöryhmällä (UK — ei EU), yrityksellä ei välttämättä ole EU:n "pääasiallista toimipaikkaa" GDPR:n yhden luukun mekanismia varten, mikä tarkoittaa, että jokaisen EU-jäsenvaltion tietosuojaviranomainen voi olla toimivaltainen alueellaan tehdyissä valituksissa.

Seuraukset SaaS-toimittajien arvioinnissa

Yrityksille, jotka valitsevat SaaS-toimittajia GDPR-vaatimustenmukaisuuden näkökulmasta:

Tietosuojaviranomaisen toimivalta-arviointi:

  • Missä toimittajan EU:n pääasiallinen toimipaikka sijaitsee? Tämä määrittää pääasiallisen tietosuojaviranomaisen.
  • Mikä on pääasiallisen tietosuojaviranomaisen täytäntöönpanohistoria ja tekniset vaatimukset?
  • Onko toimittajalla kokemusta tietosuojaviranomaisten tutkimuksista?

Tekninen arkkitehtuuriarviointi:

  • Pysyykö EU-käyttäjätiedot EU:ssa sijaitsevassa infrastruktuurissa?
  • Voivatko EU:n ulkopuoliset insinöörit päästä EU-käyttäjätietoihin?
  • Mitä salausta sovelletaan EU-käyttäjätietoihin levossa?
  • Ovatko tarkistuslokit riittävät murron laajuuden määrittämiseksi?

Siirtomekanismin dokumentointi:

  • Mikä oikeudellinen mekanismi kattaa EU–USA-tietovirrat tälle toimittajalle?
  • Onko toimittaja suorittanut siirtovaikutusarvioinnin?
  • Mitä teknisiä lisäsuojatoimenpiteitä on käytössä?

DPC:n täytäntöönpano osoittaa, että jopa kehittyneitä vaatimustenmukaisuusohjelmia omaavat yritykset — TikTokilla ja Metalla oli molemmilla GDPR-tiimit, tietosuojavastaavat ja tietosuojaohjelmat — voivat saada massiivisia sakkoja, kun tekninen arkkitehtuuri ei vastaa vaatimustenmukaisuusväitteitä.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.