A TikTok-ítélet, amely újradefiniálta az adatszuverenitást
2025 májusában az ír Adatvédelmi Bizottság 530 millió eurós GDPR-bírságot szabott ki a TikTokra az EU-felhasználói adatoknak Kínába, megfelelő biztosítékok nélküli továbbítása miatt.
A bírság ma már a valaha kiszabott második legnagyobb egyéni GDPR-bírság, amely csak a 1,2 milliárd eurós Meta-bírságot előzi meg 2023-ból, szintén az ír DPC által kiszabva, az EU-s Facebook-adatoknak az USA-beli szerverekre való illegális továbbításáért. Együttesen e két eset egyértelmű végrehajtási mintát állapít meg: a megfelelő biztosítékok nélküli határon átnyúló adattovábbítás prioritásos végrehajtási terület, és a DPC olyan léptékű bírságot szab ki, amely viselkedésbeli változásra kényszerít.
5,65 milliárd eurós halmozott GDPR-bírságokkal 2025-ig (GDPR.eu enforcement tracker), a GDPR-végrehajtás már nem háttér-megfelelőségi kockázat – ez aktív üzleti költség, amelyet a szabályozók aktívan érvényesítenek.
Mit valójában megállapított a TikTok-eset
A TikTok-eset elsősorban nem a biztonsági gyakorlatokról vagy az adatvédelmi incidensekről szólt. Hanem az adatáramlások struktúrájáról – arról, hogy az EU-felhasználók adatai elhagyják-e az EU-t, és ha igen, milyen biztosítékokkal.
Az ír DPC megállapította:
- Az EU-felhasználói adatok átkerültek TikTok kínai szervereire
- Kína nem rendelkezik a GDPR által megkövetelt megfelelő adatvédelmi szinttel
- A TikTok nem vezette be a szükséges kiegészítő intézkedéseket
- A standard szerződési feltételek önmagukban nem elegendők Kínával szemben
Ez közvetlen párhuzamban áll azzal, amit a Schrems II határozat (2020) az USA-s adattovábbításokra megállapított.
Az 'EU-ban hosztolt' hamis biztonsága
Számos szervezet abból indul ki, hogy az EU-ban hosztolt adatok automatikusan megfelelnek a GDPR-nak. Ez téves.
| Tényező | 'EU-ban hosztolt' | Valódi megfelelőség |
|---|---|---|
| Szerver helye | EU | EU |
| Anyavállalat | USA vagy Kína | EU vagy megfelelő |
| CLOUD Act kitettség | Lehetséges | Nem alkalmazható |
| Kriptográfiai hozzáférés | Vendor rendelkezik kulcsokkal | Zéró tudás |
| Adatfeldolgozás helye | Esetleg harmadik ország | Kizárólag EU |
A valódi adatszuverenitás kritériumai
A megfelelő védelemhez az összes alábbi feltételnek teljesülnie kell:
- Szerver helye: Az EU-ban (szükséges, de nem elégséges)
- Vállalati joghatóság: Nem az USA-ban, nem Kínában (CLOUD Act/NSL-féle törvények elkerülése)
- Titkosítási architektúra: Zéró tudású (szállító nem fér hozzá az adatokhoz)
- Adatáramlás ellenőrzése: Nincs harmadik ország általi feldolgozás
- Jogi szeparáció: Nincs USA-beli vagy kínai anyavállalat
Az anonym.legal megközelítése
Az anonym.legal ezeket a kritériumokat mind teljesíti:
- Tárhelyszolgáltató: Hetzner, Németország (nem USA, nem kínai, ISO 27001)
- Anyavállalat: Nincs USA-beli vagy kínai szülővállalat
- CLOUD Act kitettség: Nem alkalmazható (nincs USA-beli szülővállalat)
- Titkosítás: Ügyféloldali kulcsok, zéró tudású architektúra
- Adatfeldolgozás: Kizárólag EU-s szerverek
Következtetés
A TikTok-bírság nem kivétel – ez az irány. A GDPR-végrehajtók egyre inkább vizsgálják az adatáramlások struktúráját, nem csak a szerver helyszínét.
Az igazi adatszuverenitás megköveteli a zéró tudású architektúrát, az EU-s joghatóságot és a gondos harmadik fél gondosságot.