anonym.legal

By · Last updated 2026-06-05

Vissza a BlograGDPR & Megfelelés

Ír DPC: az EU GDPR-megabírságok 80%-a

530 millió eurós TikTok, 310 millió eurós LinkedIn, 251 millió eurós Meta — mindez Írország DPC-jétől. Íme, miért az ír DPC-nél van a Big Tech EU-s központja és mit jelent a DPC-érvényesítés a SaaS-cégeknek.

June 5, 20268 perc olvasás
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Miért vezeti Írország az EU érvényesítését

Az Ír Adatvédelmi Bizottság (DPC) a legtöbb nagy EU-s technológiai vállalat vezető hatósága. Ez nem véletlen.

Írország alacsony adókulcsa vonzotta az Apple-t, a Google-t, a Metát, a LinkedInt és a TikTokot. Mindannyian Írországban nyitották meg fő EU-s irodáikat.

A GDPR 60. cikke értelmében a DPC ezeknek a vállalatoknak a vezető hatósága. Ebből a szabályból három dolog következik.

Először: egy Németországból érkező Facebook-panasz az ír DPC-hez kerül, nem a német BfDI-hez. Másodszor: a DPC más EU-s szervekkel együttműködik a határon átnyúló ügyekben. Harmadszor: a DPC Meta elleni határozata az egész EU-ra érvényes.

Az eredmény egyértelmű. A DPC több bírságértéket szabott ki, mint az összes többi EU-s szerv együttvéve. Lásd GDPR megfelelőségi áttekintőnket arról, hogyan alakítja ez a szállítóválasztást.

Három bírság, amely meghatározza a 2024–2025-öt

530 millió eurós bírság a TikTok ellen (2025. május): Kínai mérnökök hozzáfértek EU-s felhasználói rekordokhoz. Ez sértette a GDPR 44–46. cikkeit. Ezek a szabályok korlátozzák az EU megfelelőségi határozata nélküli országokba irányuló adattovábbítást. Kínának nincs ilyen határozata. A TikTok azt állította, hogy megfelelő ellenőrzésekkel rendelkezett. A DPC szerint nem.

310 millió eurós bírság a LinkedIn ellen (2024. október): A LinkedIn „jogos érdekre” támaszkodott viselkedéselemzéshez. A DPC megállapította, hogy ez érvénytelen. Az adatkezelés nem volt szükséges a meghatározott célhoz. A mérlegelési teszt nem kedvezett a LinkedInnek.

251 millió eurós bírság a Meta ellen (2024. november): A 2018-as Facebook-adatvédelmi incidenst nem jelentették időben a DPC-nek. A DPC azt is megállapította, hogy a gyenge audit-naplók lehetetlenné tették a kitett adatok mértékének meghatározását.

Ez a három csatlakozott a korábbi, 2023. májusi 1,2 milliárd eurós Meta-bírsághoz. Azt a bírságot szintén a DPC szabta ki, jogellenes EU–USA adattovábbítás miatt. Ez mindmáig a valaha kiszabott legnagyobb GDPR-szankció.

A DPC 2024-ben több mint 8 500 határon átnyúló ügyet kezelt. Tekintse meg biztonsági és megfelelőségi oldalunkat, hogy lássa, hogyan kezeli a zéró-ismereti tervezés mindegyik hibát.

Mit fed fel minden egyes bírság

Határon átnyúló hozzáférési hibák

Mindhárom bírság egy alapvető problémát oszt. A személyes rekordok nyitva álltak az EU-szintű adatvédelmi szabályok nélküli országokban lévő munkavállalók előtt.

A TikTok bírságja közvetlen volt. EU-s felhasználói fájlok jutottak el kínai mérnökökhöz a meghatározott ellenőrzések ellenére.

Mit jelent ez a szállítóválasztásnál: Kérdezze meg, hogy az EU-n kívüli mérnökök hozzáférhetnek-e az EU-ban tárolt rekordokhoz normál munkavégzés során. Egy szállító Dublinban üzemeltethet, de az EU-s fájlokat még mindig kiteheti az USA-ban dolgozó ügyfélszolgálati munkatársakon keresztül. Az EU-s tartózkodás önmagában nem elegendő. Az entitásfeldolgozási útmutatónk megmutatja, hogyan kapcsolódnak a hozzáférési vezérlők a GDPR 46. cikkéhez.

Jogalap-hibák

A LinkedIn bírságja nem adatvédelmi incidensről szólt. Arról szólt, hogyan indokolta a LinkedIn az adatkezelést.

A „jogos érdek” nem általános jog. Az adatkezelőknek dokumentálniuk kell egy valódi mérlegelési tesztet. Ennek a tesztnek igazolnia kell, hogy érdekük felülmúlja a felhasználó jogait. A megfelelőségi oldalunk lefedi a szállítói jogalapi igények felülvizsgálatának módját.

Naplózási és értesítési hibák

A Meta 251 millió eurós bírságja kulcsfontosságú megállapítást tartalmazott. A gyenge audit-naplók lehetetlenné tették az adatvédelmi incidens terjedelmének mérését.

A GDPR 33. cikke 72 órán belüli incidens-bejelentést ír elő. Ennek a bejelentésnek tartalmaznia kell az érintett rekordok terjedelmét. Nem tud jelenteni olyan terjedelmet, amelyet nem tud mérni.

Kérdezze meg a leendő szállítókat az audit-napló struktúrájukról. Ha egy szállító egy esemény után nem tud válaszolni arra, hogy „mely rekordok kerültek kitérítve?”, akkor nem felel meg a 33. cikk (3) bekezdés b) pontjának.

A DPC-esetekben felismerhető minta

Mind a négy nagy DPC-bírság áttekintésekor egy minta rajzolódik ki. A hatóságok olyan tervezési megoldások ellen lépnek fel, ahol a szállítói mérnökök láthatják a felhasználói tartalmat. Minden nagy bírság esetén a személyes rekordokhoz való rosszul ellenőrzött hozzáférés volt a közös nevező.

A zéró-ismereti tervezés mindegyik eset alapvető aggályát kezeli. A felhasználói tartalom titkosított. A szállító nem rendelkezik visszafejtési kulcsokkal.

A TikTok és a Meta továbbítási eseteinél az EU-n kívüli mérnökök hozzáférnek a szerverhez, de csak titkosított szöveget látnak. Nem kerülnek ki olvasható rekordok. A Meta adatvédelmi incidensénél egy teljes szerverfeltörés semmi hasznosat nem ad. Az incidens terjedelme összezsugorodik. A LinkedIn esetében egy szállító, amely soha nem lát egyszerű szöveget, nem végezhet viselkedéselemzést azon.

Ez a közvetlen válasz minden DPC-intézkedésre. Lásd biztonsági áttekintőnket a részletekért, vagy alapítói nyilatkozatunkat, amely elmagyarázza, miért így épül az anonym.legal.

Mit jelent a „fő telephely”

Néhány vállalat az EU-s struktúráját annak irányítására használja, hogy melyik adatvédelmi hatóságnak van joghatósága. A DPC álláspontja itt fontos.

A „fő telephely” nem csupán egy cégcím. Ez az, ahol a központi EU-s irányítás található. Az adatkezelők esetében ott, ahol az adatkezelési célokra vonatkozó döntések születnek.

Egy londoni adatvédelmi csapattal rendelkező vállalat esetleg nem rendelkezik EU-s főteleppel. Minden tagállam adatvédelmi hatósága akkor érvényesítheti joghatóságát a helyi panaszokhoz képest.

Szállítói felülvizsgálati kérdések

Használja ezeket a kérdéseket, amikor személyes adatokat kezelő SaaS-szállítókat értékel.

Joghatóság és hozzáférés:

  • Hol van a szállító EU-s főtelepe?
  • Hozzáférhetnek az EU-n kívüli munkatársak az EU-s felhasználói rekordokhoz normál munkavégzés során?
  • A szállító anyavállalata a CLOUD Act vagy Kína biztonsági törvényeinek hatálya alá esik?

Technikai tervezés:

  • Az EU-s felhasználói tartalom EU-n üzemeltetett szervereken marad-e?
  • A szállító rendelkezik-e titkosítási kulcsokkal, vagy az ügyfél?
  • Elég részletesek-e az audit-naplók az adatvédelmi incidens terjedelmének méréséhez?

Adattovábbítási nyilvántartások:

  • Milyen GDPR 46. cikke szerinti mechanizmus fedezi az EU–USA adatfolyamokat?
  • Végzett-e a szállító adattovábbítási hatásvizsgálatot?
  • Milyen kiegészítő technikai intézkedések vannak érvényben?

A DPC érvényesítése következetes egy ponton. Még az adatvédelmi csapatokkal és adatvédelmi tisztviselőkkel rendelkező vállalatok is nagy bírságokkal szembesülnek, ha technikai tervezésük nem egyezik meg az állításaikkal. Lásd esettanulmányainkat és GYIK-oldalunkat további információkért.

Az anonym.legal EU-alapú Hetzner szervereket használ zéró-ismereti tervezéssel. A szerverek csak AES-256-GCM titkosított szöveget tárolnak. Egy teljes adatvédelmi incidens sem tesz közzé olvasható rekordokat. Az asztali alkalmazás minden tartalmat az eszközön dolgoz fel, külső kapcsolatok nélkül.

Források

Kapcsolódó Cikkek

GDPR & Megfelelés

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Megfelelés

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Megfelelés

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.