4,7 milliárd €: az USA-s cégek fizetik a GDPR-bírságok 83%-át
A bírságok megoszlása
2018 óta az EU szabályozói több mint 6,2 milliárd € GDPR-bírságot szabtak ki. A megoszlás szembetűnő: 4,7 milliárd € — azaz 83% — USA-s cégekre jutott.
A tíz legnagyobb bírság közül nyolc amerikai technológiai vállalatokat sújtott.
A tíz legnagyobb GDPR-bírság
| Sorrend | Vállalat | Bírság | Ok | Év |
|---|---|---|---|---|
| 1 | Meta (Írország) | 1,2 Mrd € | EU–USA-s adattovábbítás | 2023 |
| 2 | Amazon (Luxemburg) | 746 M € | Célzott reklámok | 2021 |
| 3 | TikTok (Írország) | 530 M € | Kínába irányuló továbbítás | 2025 |
| 4 | Instagram (Írország) | 405 M € | Gyermekek adatai | 2022 |
| 5 | Meta (Írország) | 390 M € | Reklámok jogalapja | 2023 |
| 6 | TikTok (Írország) | 345 M € | Gyermekek adatvédelme | 2023 |
| 7 | LinkedIn (Írország) | 310 M € | Viselkedéselemzés | 2024 |
| 8 | Uber (Hollandia) | 290 M € | Sofőrök adatai az USA-ban | 2024 |
| 9 | Meta (Írország) | 265 M € | Adatgyűjtés | 2022 |
| 10 | WhatsApp (Írország) | 225 M € | Átláthatóság | 2021 |
A legnagyobb bírságoknak egyetlen közös oka van: a határon átnyúló adattovábbítás. A Meta — az Instagramot és a WhatsAppot is beleértve — egyedül 2,4 milliárd € összegű bírságot halmozott fel.
Miért vallanak kudarcot az USA-ba irányuló adattovábbítások a GDPR szempontjából?
A Schrems II-ítélet
2020 júliusában az EU bírósága megsemmisítette a Privacy Shieldet. Az USA kémkedési törvényei összeütközésbe kerülnek az EU adatvédelmi jogaival. Ez az ítélet a Schrems II-ítélet.
Három fő következménye van:
- A szokásos szerződéses záradékok önmagukban nem elegendők
- A vállalatoknak ellenőrizniük kell, hogy az USA joga megfelelő védelmet nyújt-e
- A legtöbb adattovábbítás esetén további technikai intézkedések szükségesek
A CLOUD Act problémája
Az USA törvényei arra kötelezhetik az amerikai vállalatokat, hogy kiadják a tárolt fájlokat. Ez még akkor is érvényes, ha a fájlok EU-s szervereken vannak. A CLOUD Act lehetővé teszi az USA-s hatóságok számára, hogy bárhol a világon tartalmat kérjenek el az USA-s cégektől.
Ez az EU-ban működő USA-s felhőszolgáltatók alapvető problémája.
Két mérföldkő-bírság
A Meta 1,2 milliárd €-s bírságja (2023)
Írország adatvédelmi hatósága (DPC) megállapította, hogy a Meta érvényes jogalap nélkül továbbított EU-s felhasználói adatokat az USA-ba. A Meta-nak öt hónapon belül le kellett állítania az összes EU–USA-s adattovábbítást. Ez volt a GDPR-történelem legnagyobb bírságja.
Az Uber 290 millió €-s bírságja (2024)
A holland hatóságok bírságolták az Ubertjét, amiért sofőrjeinek adatait az USA-ba továbbította. Az Uber szokásos szerződéses záradékokat alkalmazott, de nem rendelkezett a Schrems II által megkövetelt kiegészítő biztosítékokkal.
Mit vizsgálnak a hatóságok?
A hatóságok ma három dolgot néznek:
- Valóban szükséges-e az adattovábbítás?
- Megtörténtek-e a kiegészítő biztosítékok?
- A célország joga megfelelő védelmet nyújt-e?
A megoldás: EU-s adatszuverenitás
A legbiztonságosabb út: a személyes adatokat az EU-n belül kell tartani. Ez gyökerénél vágja el a határon átnyúló kockázatot.
Az anonym.legal infrastruktúra
| Jellemző | Részletek |
|---|---|
| Tárhelyszolgáltatás | Hetzner, Németország (ISO 27001) |
| Felhő | Nincs AWS, Azure vagy GCP |
| Feldolgozás | 100% EU-s szerverek |
| Entitás | Német jogi személy |
| CLOUD Act | Nem alkalmazható — nincs USA-s anyavállalat |
Zero-knowledge kialakítás
A zero-knowledge (nulla tudás) architektúra egy második védelmi réteget ad:
- A jelszavak soha nem hagyják el az eszközét
- A kulcsok az ügyfél oldalán maradnak
- Jogi kötelezés esetén sem tudjuk olvasni az Ön tartalmát
- Nincs hátsó ajtó a rendszerünkben
A teljes technikai kontrollrendszerért tekintse meg a biztonsági megfelelőségi áttekintőnket.
Lépések USA-s vállalatok számára
1. Csökkentse az átmenő adatokat
Anonymizálja a személyes azonosítókat bármilyen adattovábbítás előtt. Csak azt küldje el, amire ténylegesen szükség van.
2. Használjon EU-s szolgáltatókat
EU-s felhasználók adataihoz, ahol lehetséges, válasszon EU-ban működő szolgáltatókat. A GDPR-megfelelőségi útmutatónk segít a szállítók kiválasztásában.
3. Alkalmazzon kiegészítő biztosítékokat
Ha az adattovábbítás elkerülhetetlen, alkalmazzon titkosítást és tokenizálást. Ezek még hatósági kényszerítés esetén is megakadályozzák az USA-s hatóságok hozzáférését.
4. Végezzen adattovábbítás-hatásvizsgálatot
Dokumentálja annak felülvizsgálatát, hogy a célország joga védi-e az EU-s adatokat. Az adatvédelmi hatóságok ezt ma már szabványos lépésként elvárják.
Hogyan segít az anonym.legal?
Adattovábbítás előtt: Cserélje le a személyes azonosítókat tokenekre. Küldje el a tokenizált formát. A valódi értékeket tartsa meg az EU-ban.
Megfelelőség szempontjából: Német tárhelyszolgáltatás, zero-knowledge kialakítás, teljes auditnapló és alapértelmezés szerint GDPR-biztos.
Árazás: Ingyenes csomag: 200 token/hó. Basic: 3 €/hó. Business: 29 €/hó.
Kezdjen el EU-s adatokat védeni még ma. Ingyenes próba indítása.