anonym.legal

By · Last updated 2026-06-06

Povratak na BlogGDPR & Usklađenost

Irski DPC: 80% EU GDPR mega-kazni

TikTok 530 milijuna eura, LinkedIn 310 milijuna eura, Meta 251 milijuna eura -- sve od irskog DPC-a. Zasto Irska ugostava sjedista velikih tehnoloski tvrtki i sto provedba DPC-a znaci za SaaS.

June 6, 20268 min čitanja
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Zasto Irska predvodi EU provedbu

Irska Komisija za zastitu podataka (DPC) je vodeijce tijelo za vecinu velikih EU tehnoloskiih tvrtki. To nije slucajnost.

Niska porezna stopa Irske privukla je Apple, Google, Meta, LinkedIn i TikTok. Svi su tamo osnovali svoja glavna EU ureda.

Clanak 60. GDPR-a cini DPC vodecim tijelom za te tvrtke. Iz tog pravila slijede tri stvari.

Prvo, prituzba u Njemackoj o Facebooku ide irskom DPC-u, a ne njemackom BfDI-u. Drugo, DPC suraduje s drugim EU tijelima u prekogranicnim slucajevima. Trece, odluka DPC-a protiv Mete primjenjuje se diljem cijelog EU-a.

Rezultat je jasan. DPC je izdao vise vrijednosti kazni nego sva ostala EU tijela zajedno. Pogledajte nas pregled GDPR sukladnosti kako to utjece na odluke o dobavljacima.

Tri kazne koje definiraju 2024.-2025.

530 milijuna eura protiv TikToka (svibanj 2025.): Kineski inzenjeri pristupali su EU korisnickim zapisima. Ovo krsava clanke 44.-46. GDPR-a. Ta pravila ogranicavaju prijenose u zemlje bez EU odluke o adekvatnosti. Kina nema nijednu. TikTok je tvrdio da ima odgovarajuce kontrole. DPC je rekao da nije imao.

310 milijuna eura protiv LinkedIna (listopad 2024.): LinkedIn se oslanjao na "legitimni interes" za analizu ponasanja. DPC je utvrdio da je to nevaljano. Obrada nije bila potrebna za navedenu svrhu. Test ravnoteze nije bio u LinkedInovu korist.

251 milijuna eura protiv Mete (studeni 2024.): Povreda Facebooka iz 2018. nije prijavljena DPC-u na vrijeme. DPC je takodje utvrdio da losi revizijski zapisi onemogucavaju mjerenje onoga sto je bilo izlozeno.

Ovoj trojici pridruzi la se ranija kazna od 1,2 milijarde eura za Metu iz svibnja 2023. Ta je kazna takodje dosla od DPC-a, zbog ilegalnih EU-US prijenosa. Ostaje najveca GDPR kazna ikada izrecena.

DPC je u 2024. handled vise od 8.500 prekogranicnih slucajeva. Pregledajte nasu stranicu za sigurnost i sukladnost kako dizajn nulte spoznaje rjesava svaki propust.

Sto svaka kazna otkriva

Propusti prekogranicnog pristupa

Sve tri kazne dijele jedan temeljni problem. Osobni zapisi bili su dostupni osoblju u zemljama bez EU razine pravila privatnosti.

Kazna za TikTok bila je izravna. EU korisnicke datoteke dosle su do kineskihh inzenjera unatoc navedenim kontrolama.

Sto to znaci za odabir dobavljaca: Pitajte mogu li ne-EU inzenjeri pristupiti EU-hostiranim zapisima u normalnom radu. Dobavljac moze hostirati u Dublinu ali i dalje izlagati EU datoteke putem americkog osoblja podrske. Samo EU rezidencija nije dovoljna. Nas vodic za obradu entiteta pokazuje kako se kontrole pristupa mapiraju na clanak 46. GDPR-a.

Propusti zakonite osnove

LinkedInova kazna nije bila o povredi. Bila je o tome kako je LinkedIn opravdao svoju obradu.

"Legitimni interes" nije blanket pravo. Kontrolori moraju dokumentirati pravi test ravnoteze. Taj test mora pokazati da njihov interes nadmasa prava korisnika. Nas vodic za sukladnost pokriva kako pregledati zahtjeve za zakonitu osnovu dobavljaca.

Propusti u evidentiranju i obavjestavanju

Meta-ina kazna od 251 milijuna eura ukljucivala je kljucni nalaz. Losi revizijski zapisi onemogucili su mjerenje opsega povrede.

Clanak 33. GDPR-a zahtijeva obavijest o povredi u roku od 72 sata. Ta obavijest mora ukljucivati opseg pogodjenih zapisa. Ne mozete prijaviti opseg koji ne mozete izmjeriti.

Pitajte potencijalne dobavljace o strukturi njihovih revizijskih zapisa. Ako dobavljac ne moze odgovoriti "koji su zapisi bili izlozeni?" nakon incidenta, ne prolazi clanak 33(3)(b).

Obrazac u DPC slucajevima

Procitajte sve cetiri glavne DPC kazne i pojavljuje se jedan obrazac. Regulatori djeluju protiv dizajniranja gdje inzenjeri dobavljaca mogu vidjeti korisnicke sadrzaje. Svaka velika kazna ukljucivala je lose kontrolirani pristup osobnim zapisima.

Dizajn nulte spoznaje rjesava temeljnu brigu u svakom slucaju. Korisnicke sadrzaje su sifrirani. Dobavljac nema kljuceve za desifiranje.

Za slucajeve prijenosa TikToka i Mete, ne-EU inzenjeri dosegnu posluzitelj ali vide samo sifrotext. Nikakvi citljivi zapisi nisu izlozeni. Za slucaj povrede Mete, potpuna kompromitacija posluzitelja ne donosi nista korisno. Opseg povrede se smanjuje. Za LinkedIn, dobavljac koji nikad ne vidi otvoreni tekst ne moze provoditi analizu ponasanja na njemu.

Ovo je izravan odgovor na svaku DPC akciju. Pogledajte nas pregled sigurnosti za detalje, ili nasu izjavu osnivaca o tome zasto je anonym.legal izgraden na ovaj nacin od prvog dana.

Sto znaci "glavni poslovni nastan"

Neke tvrtke strukturiraju svoju EU strukturu kako bi kontrolirale koji DPA ima nadleznost. Glediste DPC-a ovdje je vazno.

"Glavni poslovni nastan" nije samo adresa tvrtke. To je mjesto gdje sjedi sredisnje EU upravljanje. Za kontrolore, to je gdje se donose odluke o ciljevima obrade.

Tvrtka s londonskim timom za privatnost mozda nema EU glavni poslovni nastan. Svako drzavno tijelo bi tada moglo tvrditi nadleznost za lokalne prituzbe.

Pitanja za pregled dobavljaca

Koristite ova pitanja kada ocjenjujete SaaS dobavljace koji rukuju osobnim zapisima.

Nadleznost i pristup:

  • Gdje je EU glavni poslovni nastan dobavljaca?
  • Mogu li ne-EU osoblje pristupiti EU korisnickim zapisima u normalnom radu?
  • Je li maticna tvrtka dobavljaca podvrgnuta CLOUD Actu ili kineskim zakonima o sigurnosti?

Tehnicka izvedba:

  • Ostaju li EU korisnicke sadrzaje na EU-hostiranim posluziteljima?
  • Drzi li dobavljac kljuceve enkripcije, ili ih drzi kupac?
  • Jesu li revizijski zapisi dovoljno detaljni za mjerenje opsega povrede?

Zapisi o prijenosu:

  • Koji GDPR clanak 46. mehanizam pokriva sve EU-US tijekove?
  • Je li dobavljac proveo Procjenu utjecaja na prijenos?
  • Koje su dodatne tehnicke mjere na snazi?

DPC provedba je dosljedna u jednoj tocki. Cak i tvrtke s timovima za privatnost i DPO-ima suocavaju se s visokim kaznama kada njihov tehnicka izvedba ne odgovara tvrdnjama. Pogledajte nase studije slucaja i FAQ za vise.

anonym.legal koristi EU-bazirane Hetzner posluzitelje s dizajnom nulte spoznaje. Posluzitelji sadrze samo AES-256-GCM sifrotext. Potpuna povreda ne izlaze citljive zapise. Aplikacija za stolna racunala obradjuje sve sadrzaje na uredjaju bez vanjskih veza.

Izvori

Povezani Članci

GDPR & Usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.