anonym.legal

By · Last updated 2026-03-06

Povratak na BlogGDPR & Usklađenost

Kazna od 530 milijuna eura za TikTok: GDPR suverenitet podataka

Kazna od 530 milijuna eura za TikTok zbog prijenosa EU podataka u Kinu označava novu eru provedbe suvereniteta podataka. S kumulativnih 5,65 milijardi eura GDPR kazni, nabava SaaS alata više nikad neće biti ista.

March 6, 20269 min čitanja
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

TikTok presuda koja je redefinirala suverenitet podataka

U svibnju 2025. irska Komisija za zaštitu podataka izrekla je GDPR kaznu od 530 milijuna eura protiv TikToka zbog prijenosa EU korisničkih podataka u Kinu bez odgovarajućih zaštitnih mjera.

Kazna je sada druga najveća pojedinačna GDPR kazna ikad izrečena, odmah iza 1,2 milijarde eura kazne za Meta iz 2023., također izrečene od strane irskog DPC-a, zbog nezakonitih EU-US prijenosa podataka na Facebookove poslužitelje u SAD-u. Zajedno, ta dva slučaja uspostavljaju jasan obrazac provedbe: prekogranični prijenosi podataka bez odgovarajućih zaštitnih mjera prioritetan su područje provedbe, a DPC će nametati kazne u razmjeru koji prisiljava na promjenu ponašanja.

S 5,65 milijardi eura kumulativnih GDPR kazni do 2025. (GDPR.eu tracker provedbe), provedba GDPR-a više nije pozadinski rizik usklađenosti — to je aktivni poslovni trošak koji regulatori aktivno nameću.

Što je TikTok slučaj zapravo presudio

TikTok slučaj nije se primarno bavio sigurnosnim praksama ili povredama podataka. Radilo se o lokaciji podataka i pravnoj osnovi za međunarodne prijenose podataka.

EU operacije TikToka pohranjivale su i obrađivale EU korisničke podatke na poslužiteljima kojima su imali pristup zaposlenici u Kini. GDPR članci 44-46 ograničavaju međunarodne prijenose podataka na zemlje bez EU odluke o primjerenosti, osim ako su na snazi specifični pravni mehanizmi. Kina nema EU odluku o primjerenosti. TikTokov argument da je implementirao odgovarajuće tehničke mjere nije prihvaćen.

Strukturalna pouka: "naši poslužitelji su u EU" nije dovoljno ako podacima mogu pristupiti osoblje izvan EU-a, ili ako je organizacija podložna zakonima zemlje s ovlastima pristupa države koje su u sukobu s GDPR-om.

Ovo je izravno relevantno za organizacije koje procjenjuju SaaS dobavljače. Dobavljač koji kaže "hostamo u EU" ali čija je matična tvrtka sa sjedištem u SAD-u, ili čije su osoblje podrške imalo pristup izvan EU-a, može se suočiti s istim regulatornim izazovom s kojim se suočio TikTok — a tako i njihovi klijenti.

Kumulativna slika: 5,65 milijardi eura GDPR kazni

Mjera provedbeKaznaGodinaOsnova
Meta (Facebook) — DPC1,2 milijarde eura2023.Nezakoniti EU-US prijenosi
TikTok — DPC530 milijuna eura2025.EU-Kina prijenosi
Amazon — CNPD Luksemburg746 milijuna eura2021.Ciljanje oglašavanjem
WhatsApp — DPC225 milijuna eura2021.Propusti transparentnosti
Google — CNIL Francuska150 milijuna eura2022.Suglasnost za kolačiće

Kumulativnih 5,65 milijardi eura do 2025. odražava sazrijevanje provedbe GDPR-a: regulatori su prešli s uspostavljanja presedana na sustavnu provedbu u svim kategorijama kršenja. Kršenja prijenosa podataka sada su kategorija s najvišim kaznama, što odražava regulatorne prioritete.

Njemački zdravstveni problem

GDPR članci 44-46 primjenjuju se jednako u svim sektorima, ali određeni sektori suočavaju se s dodatnim zahtjevima za suverene podatke izvan GDPR-a.

Njemačko zdravstvo: Peta knjiga Socijalnog zakonika (SGB V) ograničava obradu zdravstvenih podataka na sustave pod njemačkom kontrolom. Njemački zdravstveni osiguravatelj koji koristi alat za anonimizaciju u oblaku smješten u Dublinu — koji je tehnički EU — još uvijek može biti neusklađen s SGB V ako je operater alata nenjemački subjekt s potencijalnim sukobima prema njemačkom zakonu.

Švicarsko bankarstvo: Zakon o bankovnoj tajni Švicarske (Članak 47 Zakona o bankama) zabranjuje otkrivanje klijentskih informacija neovlaštenim stranama, uključujući pružatelje usluga u oblaku koji nisu pokriveni eksplicitnom suglasnosti klijenta. Podaci o klijentima švicarske privatne banke koji se obrađuju kroz bilo koji alat u oblaku — čak i onaj hostiran u EU — mogu pokrenuti obveze bankovne tajne.

Njemački javni sektor: Smjernice BfDI-ja (Savezni povjerenik za zaštitu podataka) ograničavaju podatke vladinih agencija na infrastrukturu pod vladinim nadzorom. Alat za anonimizaciju smješten na EU poslužiteljima komercijalnog pružatelja oblaka ne zadovoljava ovaj zahtjev.

Ovi slučajevi ilustriraju da je usklađenost s GDPR-om pod, a ne plafon. Za regulirane industrije i organizacije javnog sektora, suvereni zahtjevi za podatke često nameću dodatna ograničenja koja nadilaze lokaciju hostiranja.

Krajolik odluka o primjerenosti

Međunarodni okvir za prijenose GDPR-a ovisi o tome što Europska komisija donosi "odluke o primjerenosti" za zemlje koje se smatraju pružanjem jednakovrijedne zaštite podataka. Trenutni krajolik primjerenosti:

Zemlje s odlukama o primjerenosti: Andora, Argentina, Kanada (komercijalne organizacije), Farski otoci, Guernsey, Izrael, Otok Man, Japan, Jersey, Novi Zeland, Južna Koreja, Švicarska, UK, Urugvaj, SAD (Okvir za privatnost podataka — vraćen nakon poništavanja Schrems II)

Zemlje bez primjerenosti: Kina, Indija, Rusija, Brazil, većina APAC-a, većina MENA-e, većina Afrike

Okvir za privatnost podataka (EU-SAD) vraćen je nakon političkih pregovora, ali ostaje pravno osporavan. Zagovornici privatnosti već su signalizirali pravne izazove temeljene na argumentima zakona o nadzoru SAD-a koji su poništili njegove prethodnike (Safe Harbor u Schrems I, Privacy Shield u Schrems II).

Organizacije koje se oslanjaju na EU-SAD Okvir za privatnost podataka kao svoju pravnu osnovu za obradu podataka smještenih u SAD-u trebale bi imati planove za nepredviđene slučajeve za još jedno poništavanje.

Kako zahtjevi suvereniteta podataka utječu na odabir alata

Kumulativna slika iz TikToka, Mete i temeljnog regulatornog okvira stvara hijerarhiju jamstava usklađenosti za odabir SaaS alata:

Razina 1 — EU hosting: Podaci se obrađuju i pohranjuju na poslužiteljima fizički smještenim u EU. Ovo zadovoljava temeljni GDPR zahtjev za podatke koji ne zahtijevaju zaštitu na razini suverena.

Razina 2 — Operater sa sjedištem u EU: Kontrolirajući subjekt dobavljača je EU-temeljen i nije podložan zakonima neodgovarajuće zemlje. Ovo rješava TikTok problem gdje je EU hosting bio uparen s izloženošću kineskog zakona za matični subjekt.

Razina 3 — Arhitektura nultog znanja: Čak i ako je dobavljač hakiran, primoran od strane organa zakona ili prisiljen dostaviti podatke od strane strane vlade, ne može pristupiti podacima u obliku čistog teksta jer ključevi enkripcije drži isključivo klijent. Ovo rješava scenarij gdje čak i potpuno GDPR-usklađen dobavljač primi pravni zahtjev.

Razina 4 — Lokalna obrada: Podaci nikad ne napuštaju vlastitu infrastrukturu organizacije. Obrada se odvija na lokalnom hardveru ili sustavima pod vladinim nadzorom. Ovo je jedini pristup koji u potpunosti zadovoljava njemački SGB V, bankovnu tajnu Švicarske, zahtjeve javnog sektora BfDI-ja i slične suverene mandate za podatke.

Praktična posljedica za GDPR DPIA-e

Procjene učinka zaštite podataka (DPIA-e) koje se zahtijevaju prema GDPR članak 35 za obradu visokog rizika moraju uključivati procjenu učinka prijenosa kada se podaci dijele s procesorima iz trećih zemalja. Nakon TikTok presude, DPIA-e za alate za anonimizaciju temeljene na oblaku moraju eksplicitno adresirati:

  1. Jurisdikcija matične tvrtke: Je li matična tvrtka dobavljača podložna zakonima (CLOUD Act, kineski zakon o kibernetičkoj sigurnosti, itd.) koji bi mogli zahtijevati dostavu EU korisničkih podataka?

  2. Pristup osoblja za podršku: Ima li osoblje za podršku ili inženjering u neodgovarajućim zemljama pristup EU korisničkim podacima kao dio normalnog poslovanja?

  3. Pravna osnova za prijenose: Koji specifični mehanizam GDPR članka 46 se primjenjuje na sve tokove podataka prema neodgovarajućim zemljama (SCC-ovi, BCR-ovi, derogacije)?

  4. Analiza učinka povrede: Ako je dobavljač hakiran ili prisiljen dostaviti podatke, koji EU korisnički podaci bi bili izloženi?

Za organizacije koje koriste alate za anonimizaciju temeljene na oblaku, ova pitanja imaju konkretne odgovore koji moraju biti dokumentirani. TikTok presuda pokazala je da "imamo ugovore na snazi" nije dovoljno ako ti ugovori nisu pravilno procijenjeni za primjerenost.

Što to znači za nabavu u 2026.

Nakon TikTok presude, DPO-ovi koji pregledavaju SaaS dobavljače za alate za obradu podataka postavljaju specifičnija pitanja nego prije:

  • Gdje su poslužitelji? (EU?)
  • Gdje je matična tvrtka registrirana? (EU? SAD? Negdje drugo?)
  • Imaju li zaposlenici izvan EU-a pristup EU korisničkim podacima?
  • Koji zakon se primjenjuje na zahtjeve organa zakona za podatke?
  • Postoji li arhitektura nultog znanja, ili dobavljač drži ključeve enkripcije?
  • Postoji li opcija lokalne obrade?

Odgovori na ova pitanja — ne prisutnost potpisa DPA-a — određuju stvarnu usklađenost suvereniteta podataka u regulatornom okruženju post-TikTok.

Web platforma anonym.legal koristi EU-temeljene Hetzner centre podataka s arhitekturom nultog znanja — poslužitelj nikad ne prima nešifrirane korisničke podatke, a potpuna kompromitacija poslužitelja daje samo AES-256-GCM šifriranu datoteku. Za organizacije koje zahtijevaju isključivo lokalnu obradu, Desktop App obrađuje sve podatke na uređaju bez vanjske mrežne komunikacije.

Izvori:

Povezani Članci

GDPR & Usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.