anonym.legal

By · Last updated 2026-06-05

Til baka á BloggGDPR & Samræmi

Irish DPC: 80% af stórum GDPR-sektum ESB

€530M TikTok, €310M LinkedIn, €251M Meta — allar frá DPC Írlands. Hér er hvers vegna Írland hýsir aðalskrifstofu stórra tæknifyrirtækja í ESB og hvað DPC-framkvæmd þýðir fyrir SaaS.

June 5, 20268 mín lestur
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Hvers vegna Írland leiðir ESB-framkvæmd

Irish Data Protection Commission (DPC) er leiðandi yfirvald fyrir flest stór ESB-tæknifyrirtæki. Þetta er ekki tilviljun.

Lágt skatthlutfall Írlands laðaði að sér Apple, Google, Meta, LinkedIn og TikTok. Þau settust öll upp aðalskrifstofur ESB þar.

GDPR grein 60 gerir DPC að leiðandi yfirvaldi þessara fyrirtækja. Þrjú atriði leiða af þessari reglu.

Fyrst, kvörtun í Þýskalandi um Facebook fer til DPC Írlands, ekki þýska BfDI. Í öðru lagi vinnur DPC með öðrum ESB-stofnunum að þverlanda málum. Í þriðja lagi, DPC-úrskurður gegn Meta gildir um alla ESB.

Niðurstaðan er skýr. DPC hefur gefið út fleiri sektargildi en allar aðrar ESB-stofnanir saman. Sjáðu GDPR-reglufylgniyfirlit okkar um hvernig þetta mótar söluaðilaval.

Þrjár sektir sem skilgreina 2024–2025

€530M gegn TikTok (maí 2025): Kínversk verkfræðingar fengu aðgang að ESB-notendaskrám. Þetta braut GDPR greinar 44–46. Þessar reglur takmarka millifærslur til landa án ESB-fullnægiákvörðunar. Kína hefur enga. TikTok hélt því fram að hún hefði fullnægjandi eftirliti. DPC sagði að það hefði hún ekki.

€310M gegn LinkedIn (október 2024): LinkedIn treysti á "lögmætan hagsmuna" til hegðunargreiningar. DPC komst að þeirri niðurstöðu að þetta væri ógilt. Vinnslan þurfti ekki til hins tilgreinda markmiðs. Jafngildisprófunin henti ekki LinkedIn.

€251M gegn Meta (nóvember 2024): Öryggisbrotið á Facebook árið 2018 var ekki tilkynnt til DPC í tíma. DPC komst einnig að því að léleg endurskoðunarskrár gerðu það ómögulegt að mæla hvað var þekkt.

Þessir þrír bættust við fyrri €1,2B Meta-sekt frá maí 2023. Sú sekt kom einnig frá DPC, vegna ólöglegra ESB-Bandaríkja millifærslna. Hún er enn stærsta GDPR-sekt sem nokkurn tíma hefur verið gefin út.

DPC meðhöndlaði yfir 8.500 þverlanda mál árið 2024. Skoðaðu öryggi og reglufylgnisíðu okkar til að sjá hvernig núllþekkingarlegt hönnun bregst við hverri bilun.

Hvað hver sekt afhjúpar

Þverlanda aðgangsgallar

Allar þrjár sektirnar deila einum kjarna. Persónulegar skrár voru opnar fyrir starfsmenn í löndum án ESB-stigs friðhelgisreglna.

TikTok-sektinni var beinlínis beitt. ESB-notendaskrár náðu til kínverskra verkfræðinga þrátt fyrir tilgreindar eftirlitir.

Hvað þetta þýðir fyrir söluaðilaval: Spurðu hvort starfsmenn utan ESB geti nálgast ESB-hýstar skrár í venjulegu starfi. Söluaðili gæti hýst í Dublin en samt afhjúpað ESB-skrár í gegnum bandarískt stuðningsstarfsfólk. ESB-búseta ein er ekki nóg. Einingavinnsluhandbók okkar sýnir hvernig aðgangseftirlit kortleggur á GDPR grein 46.

Lögmætar heimildarbilanir

LinkedIn-sektinni var ekki beitt vegna öryggisbrots. Hún var vegna þess hvernig LinkedIn réttlætti vinnslu sína.

"Lögmætur hagsmunar" er ekki almætt réttindi. Stjórnendur verða að skjala raunverulega jafngildisprófun. Sú prófun verður að sýna að hagsmunir þeirra vega þyngra en réttindi notandans. Reglufylgnisíða okkar fjallar um hvernig á að endurskoða lögmæta heimildarkröfur söluaðila.

Skráningar- og tilkynningargallar

Meta €251M sektinni innihélt lykilniðurstöðu. Léleg endurskoðunarskrár gerðu umfang öryggisbrots ómögulegt að mæla.

GDPR grein 33 krefst tilkynningar um öryggisbrot innan 72 klukkustunda. Sú tilkynning verður að innihalda umfang skráðra sem urðu fyrir áhrifum. Þú getur ekki tilkynnt umfang sem þú getur ekki mælt.

Spurðu væntanlega söluaðila um uppbyggingu endurskoðunarskráa þeirra. Ef söluaðili getur ekki svarað "hvaða skrár urðu þekktar?" eftir atvik, uppfyllir hann ekki grein 33(3)(b).

Mynsturið yfir DPC-mál

Lesðu yfir öll fjögur stóru DPC-sektin og eitt mynstur kemur fram. Eftirlitsstjórnvöld bregðast við hönnunum þar sem söluaðilaverkfræðingar geta séð notandaefni. Hvert stórt sektarmál snertist á illa stýrðum aðgangi að persónulegum skrám.

Núllþekkingarlegt hönnun bregst við kjarna ástæðu í hverju máli. Notandaefni er dulkóðað. Söluaðili heldur engum afkóðunarlyklum.

Fyrir TikTok og Meta-millifærslumál, ná starfsmenn utan ESB til þjónsins en sjá aðeins dulmál. Engar lesanlegar skrár eru þekktar. Fyrir Meta öryggisbrotamálið, gefur fullkominn þjónnabrot ekkert nothæft. Umfang öryggisbrots minnkar. Fyrir LinkedIn, getur söluaðili sem sér aldrei meginmálstexta ekki keyrt hegðunargreiningu á honum.

Þetta er bein svar við hverri DPC-aðgerð. Sjáðu öryggisyfirlit okkar fyrir nánar, eða stiftarsjónarmiðin okkar um hvers vegna anonym.legal var smíðuð þannig frá upphafi.

Hvað "Aðalstofnun" þýðir

Nökkur fyrirtæki leiðbeina ESB-uppbyggingu sinni til að stjórna hvaða DPA hefur lögsögu. Afstaða DPC skiptir máli hér.

"Aðalstofnun" er ekki bara fyrirtækjaheimilisfang. Þar er miðlæg ESB-stjórnun staðsett. Fyrir stjórnendur er þar teknar ákvarðanir um markmiðum vinnslu.

Fyrirtæki með London friðhelgishóp gæti haft enga aðalstofnun í ESB. Hvert aðildarríkis DPA gæti þá sett fram yfirvald yfir staðbundnum kvörtunum.

Söluaðilaspurningar

Notaðu þessar spurningar þegar þú metur SaaS-söluaðila sem meðhöndlar persónulegar skrár.

Lögsaga og aðgangur:

  • Hvar er aðalstofnun söluaðilans í ESB?
  • Geta starfsmenn utan ESB nálgast ESB-notendaskrár í venjulegu starfi?
  • Er móðurfélag söluaðilans undirselt CLOUD Act eða öryggislögum Kína?

Tæknilegt hönnun:

  • Heldst ESB-notandaefni á ESB-hýstum þjónum?
  • Heldur söluaðilinn dulkóðunarlyklum, eða gerir viðskiptavinurinn það?
  • Eru endurskoðunarskrár nákvæmar nóg til að mæla umfang öryggisbrots?

Millifærsluskrár:

  • Hvaða GDPR grein 46 tæki hylja ESB-Bandaríkja flæðar?
  • Hefur söluaðilinn gert Millifærsluáhrifamat?
  • Hvaða viðbótar tæknilegar ráðstafanir eru til staðar?

DPC-framkvæmd er stöðug að einum punkti. Jafnvel fyrirtæki með friðhelgishópa og DPO standa frammi fyrir stórum sektum þegar tæknilegt hönnun þeirra passar ekki við fullyrðingar þeirra. Sjáðu dæmisögur okkar og FAQ fyrir meira.

anonym.legal notar ESB-staðsett Hetzner-þjóna með núllþekkingarlegt hönnun. Þjónar geyma aðeins AES-256-GCM dulmál. Fullkomið brot afhjúpar engar lesanlegar skrár. Skjáborðsforritið vinnur allt efni á tækinu með engum ytri tengingum.

Heimildir

Tengdar Greinar

GDPR & Samræmi

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Samræmi

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Samræmi

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Ertu tilbúinn að vernda gögnin þín?

Byrjaðu að anonymiza PII með 285+ gerðum í 48 tungumálum.

Byrjaðu Ókeypis PrufuSkoða Eiginleika

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.