A TikTok Precedens
Az ír Adatvédelmi Bizottság 2025 májusi 530 millió eurós bírságát a TikTok ellen az EGT felhasználói adatainak Kínába való továbbítása miatt olyan végrehajtási precedenst teremtett, amely túlmutat a közösségi médiavállalatokon. A DPC megállapítása: a TikTok megsértette a GDPR 46(1) cikkét azzal, hogy személyes adatokat megfelelő biztosítékok nélkül továbbított harmadik országba — Kínába. A jogsértés az adattovábbítás volt, nem az azt követő adatgyűjtés vagy feldolgozás.
A precedens hatóköre: az EU személyes adatok bármely nem EU-s szerverre való továbbítása feldolgozás céljából — beleértve egy legitim, megfelelő eszköz általi feldolgozást is — GDPR 44-49. cikkek szerinti adattovábbítást jelent. A továbbításhoz szükséges: megfelelőségi határozat (az EU megállapította a fogadó ország adatvédelmének megfelelőségét), Általános Szerződési Feltételek (a fogadót kötelező szerződéses védelmi intézkedések), Kötelező Vállalati Szabályok (jóváhagyott belső multinacionális keretrendszer), vagy más 46. cikk szerinti mechanizmus.
A halmozott GDPR-bírságok 2025-ben elérték az 5,65 milliárd eurót. Az adattovábbítási jogsértések átlagosan 18 millió euróba kerülnek végrehajtási intézkedésenként (DLA Piper 2025), a magasabb kockázatú végrehajtási kategóriák egyikévé téve azokat.
Az Névtelenítő Eszköz Paradoxona
Az EU-ügyfél adatait feldolgozni kívánó, US-alapú SaaS névtelenítő eszközt használó szervezet strukturális GDPR-problémával szembesül. A munkafolyamat: az EU-ügyfél adatait feltöltik a névtelenítő eszköz US-szerverére, feldolgozzák, majd névtelenítve visszaküldik. A névtelenített adatokat az EU-ban tárolják és használják. A nyers személyes adat — az eredeti EU-ügyfél adat — a feldolgozási lépés során áthaladt az US-szervereken.
Ez az átmenés adattovábbítást jelent a GDPR szerint. A szervezet szándéka (az adatok névtelenítése megfelelőségi célból) nem szünteti meg a 44-49. cikk szerinti elemzést. Az a tény, hogy az adatokat ezt követően névtelenítették, nem teszi semmissé a névtelenítés előtti személyes adatok továbbítását.
Az ír DPC TikTok-elemzése közvetlenül alkalmazható: a jogsértés az EU személyes adatok nem EU-s szerverre való továbbítása, függetlenül attól, hogy milyen feldolgozás zajlik a fogadó szerveren. Egy US-alapú névtelenítő eszköz, amely EU személyes adatokat kap US-szervereken, EU személyes adatok továbbítását fogadta be. Az eszközt használó szervezetnek ugyanolyan megfelelőségi határozatra, ÁSZF-ekre vagy KVSz-ekre van szüksége, mint bármely más adattovábbítás esetén.
A Nullaismeret-Architektúra Megoldása
A megoldás architektúrális: egy névtelenítő eszköz, amely soha nem kap személyes adatokat, nem lehet adattovábbítás okozója. A nullaismeret-megközelítés — ahol a PII-észlelés és -csere ügyféloldalon történik, és csak a névtelenített kimenet kerül továbbításra vagy tárolásra az eszköz szerverein — megszünteti az adattovábbítási aggodalmat.
Nullaismeret-architektúra esetén: az ügyfél nyers EU személyes adatait a felhasználó böngészőjében vagy helyi alkalmazásában dolgozzák fel. A PII-észlelés helyileg fut. A névtelenített kimenet (a valódi PII tokenekkel vagy titkosított értékekkel helyettesítve) az egyetlen szerverre továbbított adat. A szerver névtelenített adatokat kap — olyan adatokat, amelyek, ha a névtelenítés teljes, nem minősülnek GDPR szerinti személyes adatnak.
Azon szervezetek számára, amelyek dokumentálják a 30. cikk szerinti ROPA-jukat (adatkezelési tevékenységek nyilvántartása), ez az architektúrális különbség fontos: az EU-szerveres, nullaismeret-elvű névtelenítő eszköz ROPA-bejegyzése nem rögzít határon átnyúló adattovábbítást. A nyers személyes adatokat fogadó US-szerveres névtelenítő eszköz ROPA-bejegyzése határon átnyúló adattovábbítást rögzít, amely a jogi alap dokumentálását igényli.
Források: