TikTok sprendimas, pakeitęs duomenų suverenumą
Atnaujinta 2026 metais
2025 m. gegužę Airijos Duomenų apsaugos komisija skyrė TikTok 530 mln. EUR baudą. Priežastis paprasta. TikTok siuntė ES vartotojų informaciją į Kiniją be tinkamų apsaugos priemonių.
Tai yra antra pagal dydį pavienė BDAR bauda visų laikų. Tik 1,2 mlrd. EUR Meta bauda iš 2023 m. yra didesnė. Ją taip pat skyrė Airijos DPC — už ES įrašų siuntimą į Facebook JAV serverius.
Abiems atvejams būdingas aiškus modelis. Tarpvalstybiniai perdavimai be tinkamų apsaugos priemonių sulaukia didžiausių baudų. Reguliatoriai toliau spaus, kol įmonės pasikeis.
Bendros BDAR baudos iki 2025 m. pasiekė 5,65 mlrd. EUR. Vykdymas nebėra fono rizika. Tai aktyvios verslo išlaidos. Peržiūrėkite mūsų BDAR atitikties vadovą praktinei apžvalgai.
Ką nusprendė TikTok byloje
Ši byla nebuvo apie pažeidimą. Ji buvo apie tai, kur keliauja vartotojų failai ir teisinis pagrindas jų perkėlimui per sienas.
TikTok saugojo ES vartotojų failus serveriuose. Kinijoje esantys darbuotojai galėjo pasiekti tuos serverius. BDAR 44–46 straipsniai riboja perdavimus į šalis be ES tinkamumo sprendimo. Kinija tokio sprendimo neturi. TikTok sakė turinti tinkamas technines priemones. Reguliatoriai nesutiko.
Pamoka paprasta. Talpinimo ES nepakanka, jei darbuotojai už ES ribų gali pasiekti failus. Taip pat nepakanka, jei įmonė turi laikytis ne tinkamos šalies įstatymų.
Tai svarbu renkantis SaaS tiekėjus. Tiekėjas gali sakyti "mes talpinome ES". Tačiau jei jų patronuojanti įmonė įsikūrusi kitur, ta pati rizika taikoma. Jei jų palaikomo personalo darbuotojai pasiekia vartotojų failus iš ES ribų, ta pati rizika taikoma. Jų klientai taip pat dalijasi ta rizika. Peržiūrėkite mūsų atitikties derinimo kontrolinį sąrašą prieš pasirašydami DPA.
BDAR baudos: 5,65 mlrd. EUR ir daugiau
| Vykdymo veiksmas | Bauda | Metai | Pagrindas |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 mlrd. EUR | 2023 | Neteisėti ES ir JAV perdavimai |
| TikTok — DPC | 530 mln. EUR | 2025 | ES ir Kinijos perdavimai |
| Amazon — CNPD Liuksemburgas | 746 mln. EUR | 2021 | Reklamos taikymas |
| WhatsApp — DPC | 225 mln. EUR | 2021 | Skaidrumo trūkumai |
| Google — CNIL Prancūzija | 150 mln. EUR | 2022 | Slapukų sutikimas |
Reguliatoriai perėjo nuo taisyklių nustatymo prie jų vykdymo. Perdavimo pažeidimai dabar sulaukia didžiausių baudų. Sužinokite, kaip tvarkome saugumą ir apsaugos priemones.
Vokietija, Šveicarija ir sektorinės taisyklės
BDAR 44–46 straipsniai taikomi visiems sektoriams. Tačiau kai kurios pramonės šakos turi papildomų taisyklių virš BDAR.
Vokietijos sveikatos apsauga: Socialinis kodeksas V (SGB V) riboja sveikatos dokumentus iki Vokietijos kontroliuojamų sistemų. Vokiečių draudikas gali naudoti debesies de-identifikavimo įrankį Dubline — tai ES. Tačiau jis vis tiek gali pažeisti SGB V, jei įrankio savininkas yra ne Vokietijos įmonė.
Šveicarijos bankininkystė: Bankų įstatymo 47 straipsnis draudžia dalintis klientų dokumentais su išorinėmis šalimis. Tai apima debesies tiekėjus be aiškaus kliento sutikimo. Šveicarijos banko kliento failai, net ES priglobstame įrankyje, gali sukelti šį įstatymą.
Vokietijos viešasis sektorius: BfDI rekomendacijos riboja valdžios dokumentus iki valstybės valdomų sistemų. De-identifikavimo įrankis komercinės debesies paslaugų teikėjo ES serveriuose neatitinka šio standarto.
Pamoka: BDAR derinimas yra žemiausia riba, o ne lubos. Daugelis sektorių susiduria su griežtesnėmis taisyklėmis. Mūsų objektų apdorojimo apžvalga nurodo, kurios taisyklės taikomos pagal sektorių.
Kurios šalys turi tinkamumo sprendimą?
BDAR leidžia šalims laisvai keistis vartotojų informacija, jei Europos Komisija sako, kad jos užtikrina lygiavertę apsaugą. Šios šalys atitinka kriterijus:
Andora, Argentina, Kanada (komercinės grupės), Farerio salos, Gernsis, Izraelis, Meno sala, Japonija, Džersis, Naujoji Zelandija, Pietų Korėja, Šveicarija, JK, Urugvajus ir JAV (Duomenų privatumo sistema).
Šios šalys neatitinka kriterijų: Kinija, Indija, Rusija, Brazilija, didžioji Azijos ir Ramiojo vandenyno dalis, didžioji Artimųjų Rytų dalis, didžioji Afrikos dalis.
ES ir JAV Duomenų privatumo sistema vėl galioja. Tačiau ji vis dar yra teisminiame ginče. Tie patys teisiniai argumentai sunaikino Safe Harbor (Schrems I) ir Privacy Shield (Schrems II). Įmonės, naudojančios šią sistemą, turėtų planuoti kitą panaikinimą.
Keturi apsaugos lygiai renkantis įrankius
TikTok ir Meta bylos sukuria aiškų reitingą SaaS įrankių vertinimui.
1 lygis — ES talpinimas: Vartotojų informacija apdorojama ir saugoma ES serveriuose. Tai atitinka BDAR bazinį lygį daugeliui naudojimo atvejų.
2 lygis — ES bazuotas operatorius: Tiekėjo patronuojanti įmonė yra ES. Ji nepriklauso ne tinkamos šalies įstatymams. Tai išsprendžia TikTok problemą. ES talpinimas kartu su Kinijos teisės poveikiu patronuojančiai įmonei nėra saugus.
3 lygis — nulinių žinių dizainas: Net jei tiekėjas yra nulaužtas ar gauna teismo įsakymą, jis negali skaityti jūsų failų. Jūs turite šifravimo raktus. Jie turi tik šifruotą tekstą. Skaitykite apie mūsų nulinių žinių metodą.
4 lygis — vietinis apdorojimas: Jūsų dokumentai niekada nepalieka jūsų sistemų. Apdorojimas vyksta vietinėje techninėje įrangoje arba valstybės kontroliuojamose mašinose. Tai vienintelis būdas visiškai atitikti Vokietijos SGB V, Šveicarijos bankininkystės paslapties ir BfDI taisykles. Žiūrėkite mūsų kainų planus dėl Desktop App galimybių.
PPPV po TikTok
BDAR 35 straipsnis reikalauja Duomenų apsaugos poveikio vertinimo aukštos rizikos apdorojimui. Tai vadinama PPPV. Kai vartotojų failai keliauja į trečiųjų šalių procesorių, taip pat reikia perdavimo poveikio vertinimo.
Po TikTok, PPPV debesies redakcijos įrankiams turi atsakyti į keturis klausimus.
Patronuojančios įmonės jurisdikcija: Ar tiekėjo patronuojanti įmonė priklauso įstatymams — CLOUD aktas, Kinijos kibernetinio saugumo įstatymas — kurie galėtų priversti juos perduoti ES vartotojų failus?
Personalo prieiga: Ar ne tinkamų šalių darbuotojai pasiekia ES vartotojų failus įprastoje veikloje?
Teisinis pagrindas: Koks BDAR 46 straipsnio mechanizmas apima bet kokius perdavimus — SCC, BCR ar nukrypimus?
Pažeidimo poveikis: Jei tiekėjas yra nulaužtas arba priverstas perduoti dokumentus, kas atskleidžiama?
TikTok parodė, kad vien sutarčių nepakanka. Turite juos įvertinti dėl tinkamumo. Dokumentuokite savo atsakymus. Naršykite mūsų DUK dėl bendrų PPPV klausimų.
2026 m. viešojo pirkimo klausimai
DPO dabar užduoda labai konkrečius klausimus peržiūrint SaaS tiekėjus asmeninės informacijos apdorojimo įrankiams.
- Kur yra serveriai? (ES?)
- Kur yra patronuojanti įmonė? (ES? JAV? Kita?)
- Ar ne ES darbuotojai pasiekia ES klientų failus?
- Koks įstatymas reglamentuoja teismo įsakymus dėl asmeninių dokumentų?
- Ar tiekėjas turi šifravimo raktus, ar jūs?
- Ar yra vietinio apdorojimo galimybė?
Atsakymai į šiuos klausimus — o ne vien DPA parašai — lemia tikrą suvereniteto derinimą. Sužinokite, kaip anonym.legal buvo sukurtas atsakyti į visus juos mūsų steigėjo pareiškime. Taip pat galite naršyti mūsų pagrindinių sąvokų žodynėlį dėl SCC, BCR ir tinkamumo sprendimų greitų apibrėžimų.
PostikTok aplinka yra aiški. Reguliatoriai atidžiai stebi tarpvalstybinius perdavimus. Baudos yra didelės. Jos auga. Jūsų tiekėjo pasirinkimas dabar yra reguliacinis sprendimas. Tai ne tik techninis sprendimas.
anonym.legal naudoja ES bazuotus Hetzner duomenų centrus su nulinių žinių dizainu. Serveris niekada nemato jūsų paprastojo teksto turinio. Pilnas serverio pažeidimas duoda tik AES-256-GCM šifruotą tekstą. Reikia tik vietinio apdorojimo? Desktop App veikia visiškai jūsų įrenginyje be išorinių ryšių.