anonym.legal

By · Last updated 2026-06-05

블로그로 돌아가기GDPR 및 준수

아일랜드 DPC: EU GDPR 대형 과징금의 80%

TikTok 5억 3천만 유로, LinkedIn 3억 1천만 유로, Meta 2억 5천1백만 유로 — 모두 아일랜드 DPC에서 나왔습니다. 빅테크가 EU 본사를 아일랜드에 두는 이유와 SaaS에 대한 DPC 집행의 의미를 정리했습니다.

June 5, 20268 분 읽기
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

아일랜드가 EU 집행을 주도하는 이유

아일랜드 데이터보호위원회(DPC)는 대부분의 대형 EU 기술 기업에 대한 주요 감독 기관입니다. 이는 우연이 아닙니다.

아일랜드의 낮은 세율이 Apple, Google, Meta, LinkedIn, TikTok을 끌어들였습니다. 이들 모두 아일랜드에 주요 EU 사무소를 설립했습니다.

GDPR 제60조는 DPC를 이 기업들의 주요 감독 기관으로 지정합니다. 이로부터 세 가지 결과가 따릅니다.

첫째, 독일에서 Facebook에 대한 민원이 접수되면 독일 BfDI가 아닌 아일랜드 DPC로 전달됩니다. 둘째, DPC는 국가 간 사건에서 다른 EU 기관과 협력합니다. 셋째, DPC의 Meta에 대한 결정은 EU 전체에 적용됩니다.

결과는 명확합니다. DPC는 다른 모든 EU 기관을 합친 것보다 더 많은 과징금을 부과했습니다. 이것이 공급업체 결정에 어떤 영향을 미치는지는 GDPR 준수 개요를 참조하십시오.

2024-2025년을 정의한 세 가지 과징금

TikTok에 대한 5억 3천만 유로(2025년 5월): 중국 엔지니어들이 EU 사용자 데이터에 접근했습니다. 이는 GDPR 제44-46조를 위반한 것으로, 이 규정은 EU 적정성 결정이 없는 국가로의 이전을 제한합니다. 중국은 적정성 결정을 받지 못했습니다. TikTok은 적절한 통제 수단을 갖추고 있다고 주장했지만, DPC는 이를 인정하지 않았습니다.

LinkedIn에 대한 3억 1천만 유로(2024년 10월): LinkedIn은 행동 분석을 위해 "정당한 이익"에 의존했습니다. DPC는 이를 무효로 판단했습니다. 처리가 명시된 목적에 필요하지 않았으며, 균형 테스트도 LinkedIn에 유리하지 않았습니다.

Meta에 대한 2억 5천1백만 유로(2024년 11월): 2018년 Facebook 침해가 DPC에 적시에 신고되지 않았습니다. 또한 DPC는 부실한 감사 로그로 인해 노출 범위를 측정하기가 불가능했다고 판단했습니다.

이 세 가지는 2023년 5월의 Meta 12억 유로 과징금에 추가됩니다. 그 과징금도 DPC가 부과한 것으로, 불법적인 EU-미국 데이터 이전이 이유였습니다. 현재까지 부과된 최대 GDPR 과징금으로 남아 있습니다.

DPC는 2024년 8,500건 이상의 국가 간 사건을 처리했습니다. 제로 지식 설계가 각 위반에 어떻게 대응하는지는 보안 및 준수 페이지를 참조하십시오.

각 과징금이 드러내는 것

국가 간 접근 실패

세 가지 과징금 모두 하나의 핵심 문제를 공유합니다. 개인정보가 EU 수준의 개인정보 보호 규정이 없는 국가의 직원에게 노출되었습니다.

TikTok의 과징금은 직접적이었습니다. EU 사용자 파일이 명시된 통제 수단에도 불구하고 중국 엔지니어에게 접근되었습니다.

공급업체 선택의 의미: 비EU 엔지니어가 EU에서 호스팅되는 데이터에 접근할 수 있는지 확인하십시오. 공급업체가 더블린에서 호스팅하더라도 미국 기반 지원 직원을 통해 EU 파일이 노출될 수 있습니다. EU 내 서버 위치만으로는 충분하지 않습니다. 접근 통제가 GDPR 제46조에 어떻게 대응하는지는 엔티티 처리 가이드를 참조하십시오.

적법한 근거 실패

LinkedIn의 과징금은 데이터 침해에 관한 것이 아니었습니다. LinkedIn이 처리를 어떻게 정당화했는지에 관한 것이었습니다.

"정당한 이익"은 포괄적인 권리가 아닙니다. 컨트롤러는 진정한 균형 테스트를 문서화해야 합니다. 이 테스트는 자신의 이익이 사용자의 권리를 능가함을 증명해야 합니다. 공급업체의 적법한 근거 주장을 검토하는 방법은 준수 페이지를 참조하십시오.

로깅 및 통지 실패

Meta의 2억 5천1백만 유로 과징금에는 핵심적인 판단이 포함되었습니다. 부실한 감사 로그로 인해 침해 범위를 측정하기가 불가능했습니다.

GDPR 제33조는 72시간 이내 침해 통지를 요구합니다. 이 통지에는 영향을 받은 데이터의 범위가 포함되어야 합니다. 측정할 수 없는 범위는 신고할 수 없습니다.

예비 공급업체에게 감사 로그 구조에 대해 문의하십시오. 공급업체가 사고 후 "어떤 데이터가 노출되었는가?"라는 질문에 답할 수 없다면, 이는 제33조 제3항 제(b)호에 미달하는 것입니다.

DPC 사건의 패턴

네 가지 주요 DPC 과징금 전체를 살펴보면 하나의 패턴이 나타납니다. 규제 기관은 공급업체 엔지니어가 사용자 콘텐츠를 볼 수 있는 설계에 대해 조치를 취합니다. 모든 주요 과징금에는 개인정보에 대한 통제가 부실한 접근이 관여되어 있었습니다.

제로 지식 설계는 각 사건의 핵심 우려에 직접 대응합니다. 사용자 콘텐츠는 암호화됩니다. 공급업체는 복호화 키를 보유하지 않습니다.

TikTok과 Meta 이전 사건의 경우, 비EU 엔지니어가 서버에 접근하더라도 암호문만 볼 수 있습니다. 읽을 수 있는 데이터가 노출되지 않습니다. Meta 침해 사건의 경우, 서버가 완전히 침해되더라도 유용한 정보가 나오지 않습니다. 침해 범위가 줄어듭니다. LinkedIn의 경우, 일반 텍스트를 절대 볼 수 없는 공급업체는 그 텍스트에 대한 행동 분석을 실행할 수 없습니다.

이것이 각 DPC 조치에 대한 직접적인 답입니다. 자세한 내용은 보안 개요를, 또는 anonym.legal이 처음부터 이런 방식으로 구축된 이유에 대해서는 창업자 성명을 참조하십시오.

"주요 사업장"의 의미

일부 기업은 어떤 DPA가 관할권을 갖는지를 제어하기 위해 EU 구조를 설계합니다. 여기서 DPC의 견해가 중요합니다.

"주요 사업장"은 단순히 기업 주소가 아닙니다. 중앙 EU 경영진이 있는 곳입니다. 컨트롤러의 경우, 처리 목적에 관한 결정이 이루어지는 곳입니다.

런던에 개인정보 팀이 있는 기업은 EU 주요 사업장이 없을 수도 있습니다. 그러면 각 회원국 DPA가 현지 민원에 대한 관할권을 주장할 수 있습니다.

공급업체 검토 질문 목록

개인정보를 처리하는 SaaS 공급업체를 평가할 때 다음 질문들을 활용하십시오.

관할권 및 접근:

  • 공급업체의 EU 주요 사업장은 어디인가?
  • 비EU 직원이 일상 업무에서 EU 사용자 데이터에 접근할 수 있는가?
  • 공급업체의 모회사가 CLOUD Act나 중국 보안법의 적용을 받는가?

기술적 설계:

  • EU 사용자 콘텐츠가 EU 호스팅 서버에 유지되는가?
  • 공급업체가 암호화 키를 보유하는가, 아니면 고객이 보유하는가?
  • 감사 로그가 침해 범위를 측정할 만큼 상세한가?

이전 기록:

  • EU-미국 흐름을 포괄하는 GDPR 제46조 메커니즘은 무엇인가?
  • 공급업체가 이전 영향 평가를 실시했는가?
  • 어떤 추가 기술적 조치가 마련되어 있는가?

DPC의 집행은 한 가지 점에서 일관성을 보입니다. 개인정보 팀과 DPO를 갖춘 기업도 기술적 설계가 주장과 일치하지 않을 경우 대규모 과징금을 받습니다. 더 자세한 내용은 사례 연구FAQ를 참조하십시오.

anonym.legal는 제로 지식 설계가 적용된 EU 기반 Hetzner 서버를 사용합니다. 서버는 AES-256-GCM 암호문만 보관합니다. 완전한 침해가 발생해도 읽을 수 있는 데이터는 노출되지 않습니다. 데스크톱 앱은 외부 연결 없이 기기에서 모든 콘텐츠를 처리합니다.

출처

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.