TikTok spriedums, kas mainīja datu suverenitāti
Atjaunots 2026. gadam
- gada maijā Īrijas Datu aizsardzības komisija sodīja TikTok ar 530 miljoniem eiro. Iemesls bija vienkāršs. TikTok nosūtīja ES lietotāju informāciju uz Ķīnu bez atbilstošiem aizsardzības pasākumiem.
Šis ir otrais lielākais viena VDAR sods vēsturē. Tikai 1,2 miljardu eiro Meta sods no 2023. gada ir lielāks. Īrijas DPC to arī izsniedza — par ES datu nosūtīšanu uz Facebook serveriem ASV.
Abas lietas kopīgo skaidru modeli. Pārrobežu pārsūtīšana bez atbilstošiem aizsardzības pasākumiem piesaista lielākos sodus. Regulatori turpinās spiest, līdz uzņēmumi mainīsies.
Kopējie VDAR sodi sasniedza 5,65 miljardus eiro līdz 2025. gadam. Izpilde vairs nav fona risks. Tā ir aktīva darījumu veikšanas izmaksa. Skatiet mūsu VDAR atbilstības ceļvedi praktiskam pārskatam.
Ko nosprieda TikTok lieta
Šī lieta nebija par pārkāpumu. Tā bija par to, kur nonāk lietotāju faili un kāds ir juridiskais pamats to pārvietošanai pāri robežām.
TikTok glabāja ES lietotāju failus serveros. Ķīnas darbinieki varēja piekļūt šiem serveriem. VDAR 44.–46. pants ierobežo pārsūtīšanu uz valstīm bez ES adekvātuma lēmuma. Ķīnai nav šāda lēmuma. TikTok apgalvoja, ka tiem ir atbilstoši tehniskie pasākumi. Regulatori teica nē.
Mācība ir vienkārša. Mitināšana ES nav pietiekama, ja ārpus ES esošais personals var piekļūt failiem. Tā arī nav pietiekama, ja uzņēmumam jāievēro likumi no neadekvātas valsts.
Tas ir svarīgi, izvēloties SaaS piegādātājus. Piegādātājs var teikt "mēs mitinām ES". Taču, ja to mātes uzņēmums atrodas citur, tas pats risks pastāv. Ja to atbalsta personals piekļūst lietotāju failiem no ārpus ES, tas pats risks pastāv. Viņu klientiem arī ir šis risks. Pirms DPA parakstīšanas pārbaudiet mūsu atbilstības pielāgošanas kontrolsarakstu.
VDAR sodi: 5,65 miljardi eiro un vēl vairāk
| Izpildes darbība | Sods | Gads | Pamats |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 mljrd. EUR | 2023 | Nelikumīgas ES-ASV pārsūtīšanas |
| TikTok — DPC | 530 milj. EUR | 2025 | ES-Ķīnas pārsūtīšanas |
| Amazon — CNPD Luksemburga | 746 milj. EUR | 2021 | Reklāmu mērķēšana |
| WhatsApp — DPC | 225 milj. EUR | 2021 | Pārredzamības neveiksmes |
| Google — CNIL Francija | 150 milj. EUR | 2022 | Sīkdatņu piekrišana |
Regulatori pārgāja no noteikumu iestatīšanas uz to izpildi. Pārsūtīšanas pārkāpumi tagad piesaista lielākos sodus. Uzziniet, kā mēs apstrādājam drošību un aizsardzības pasākumus.
Vācija, Šveice un nozaru noteikumi
VDAR 44.–46. pants attiecas uz visām nozarēm. Taču dažas nozares saskaras ar papildu noteikumiem papildus VDAR.
Vācijas veselības aprūpe: Sociālā likuma kodeksa V grāmata (SGB V) ierobežo veselības dokumentus uz Vācijas kontrolētajām sistēmām. Vācu apdrošinātājs var izmantot mākoņa de-identifikācijas rīku Dublinā — tas ir ES. Taču tas joprojām var pārkāpt SGB V, ja rīka īpašnieks ir ne-Vācijas uzņēmums.
Šveices banku nozare: Banku likuma 47. pants aizliedz klientu dokumentu kopīgošanu ar trešajām pusēm. Tas ietver mākoņpakalpojumu sniedzējus bez klienta skaidras piekrišanas. Šveices bankas klienta faili, pat ES mitinātā rīkā, var aktivizēt šo likumu.
Vācijas publiskais sektors: BfDI vadlīnijas ierobežo valdības dokumentus uz valdības pārvaldītajām sistēmām. De-identifikācijas rīks komerciāla mākoņpakalpojumu sniedzēja ES serveros neatbilst šim standartam.
Mācība: VDAR atbilstība ir grīda, nevis griesti. Daudzas nozares saskaras ar stingrākiem noteikumiem. Mūsu entitiju apstrādes pārskats kartē, kuri noteikumi attiecas pēc nozares.
Kam ir adekvātuma lēmums?
VDAR ļauj valstīm brīvi apmainīties ar lietotāju informāciju, ja Eiropas Komisija uzskata, ka tās nodrošina līdzvērtīgu aizsardzību. Šīs valstis ir kvalificētas:
Andora, Argentīna, Kanāda (komerciālas grupas), Fēru salas, Gērnzija, Izraēla, Menas sala, Japāna, Džērsija, Jaunzēlande, Dienvidkoreja, Šveice, Apvienotā Karaliste, Urugvaja un ASV (Datu privātuma ietvars).
Šīs valstis nav kvalificētas: Ķīna, Indija, Krievija, Brazīlija, lielākā daļa Āzijas un Klusā okeāna reģiona, lielākā daļa Tuvo Austrumu, lielākā daļa Āfrikas.
ES-ASV Datu privātuma ietvars atkal ir spēkā. Taču tas joprojām tiek apstrīdēts tiesā. Tie paši juridiskie argumenti iznīcināja Safe Harbor (Schrems I) un Privacy Shield (Schrems II). Uzņēmumiem, kas izmanto šo ietvaru, vajadzētu sagatavoties vēl vienam anulēšanas gadījumam.
Četri aizsardzības līmeņi rīku atlasei
TikTok un Meta lietas rada skaidru ranžējumu SaaS rīku izvērtēšanai.
1. līmenis — ES mitināšana: Lietotāja informācija tiek apstrādāta un glabāta ES serveros. Tas atbilst VDAR bāzlīnijai vairumam lietošanas gadījumu.
2. līmenis — ES bāzēts operators: Piegādātāja mātes uzņēmums atrodas ES. Tas nepieder neadekvātu valstu likumiem. Tas atrisina TikTok problēmu. ES mitināšana apvienojumā ar Ķīnas tiesību iedarbību mātes uzņēmumam nav droša.
3. līmenis — nulles zināšanu dizains: Pat ja piegādātājs tiek uzlauzts vai saņem tiesas rīkojumu, viņi nevar nolasīt jūsu failus. Jūs glabājat šifrēšanas atslēgas. Viņi glabā tikai šifrētu tekstu. Lasiet par mūsu nulles zināšanu pieeju.
4. līmenis — lokāla apstrāde: Jūsu dokumenti nekad neatstāj jūsu pašu sistēmas. Apstrāde darbojas lokālajā aparatūrā vai valdības kontrolētajos datoros. Šis ir vienīgais veids, kā pilnībā izpildīt Vācijas SGB V, Šveices banku slepenības un BfDI noteikumus. Skatiet mūsu cenu plānus Desktop App iespējas.
DPIA pēc TikTok
VDAR 35. pants prasa Datu aizsardzības ietekmes novērtējumu augsta riska apstrādei. To sauc DPIA. Kad lietotāju faili nonāk pie trešās valsts apstrādātājiem, jums arī nepieciešams pārsūtīšanas ietekmes novērtējums.
Pēc TikTok, DPIA mākoņa rediģēšanas rīkiem jāatbild uz četriem jautājumiem.
Mātes jurisdikcija: Vai piegādātāja mātes uzņēmums ir pakļauts likumiem — CLOUD Act, Ķīnas kiberdrošības likums — kas var piespiest tos nodot ES lietotāju failus?
Personala piekļuve: Vai neadekvātu valstu personals parastās operācijās piekļūst ES lietotāju failiem?
Juridiskais pamats: Kāds VDAR 46. panta mehānisms attiecas uz jebkādām pārsūtīšanām — SCC, BCR vai atkāpes?
Pārkāpuma ietekme: Ja piegādātājs tiek uzlauzts vai piespiest nodot dokumentus, kas tiek atklāts?
TikTok parādīja, ka līgumi vien nav pietiekami. Jums tie jānovērtē pēc adekvātuma. Dokumentējiet savas atbildes. Pārlūkojiet mūsu BUJ izplatītos DPIA jautājumus.
2026. gada iepirkuma jautājumi
DPO tagad uzdod ļoti specifiskus jautājumus, pārskatot SaaS piegādātājus personiskās informācijas apstrādes rīkiem.
- Kur atrodas serveri? (ES?)
- Kur atrodas mātes uzņēmums? (ES? ASV? Citur?)
- Vai ne-ES personals piekļūst ES klientu failiem?
- Kāds likums regulē tiesas rīkojumus personiskajiem dokumentiem?
- Vai piegādātājs glabā šifrēšanas atslēgas, vai jūs?
- Vai pastāv lokālas apstrādes iespēja?
Atbildes uz šiem jautājumiem — nevis tikai DPA paraksti — nosaka reālo suverenitātes atbilstību. Uzziniet, kā anonym.legal tika veidots, lai atbildētu uz tiem visiem, mūsu dibinātāja paziņojumā. Varat arī pārlūkot mūsu galveno terminu vārdnīcu ātram SCC, BCR un adekvātuma lēmumu skaidrojumam.
Pēc-TikTok vide ir skaidra. Regulatori uzmanīgi vēro pārrobežu pārsūtīšanas. Sodi ir lieli. Tie pieaug. Jūsu piegādātāja izvēle tagad ir regulatīvs lēmums. Tas nav tikai tehnisks.
anonym.legal izmanto ES bāzētus Hetzner datu centrus ar nulles zināšanu dizainu. Serveris nekad neredz jūsu tekstu skaidrā veidā. Pilnīga servera pārkāpuma gadījumā tiek iegūts tikai AES-256-GCM šifrēts teksts. Nepieciešama tikai lokāla apstrāde? Desktop App darbojas pilnīgi jūsu ierīcē bez ārējiem savienojumiem.
Avoti
- Īrijas DPC: TikTok 530 miljonu eiro soda lēmums — VERIFICĒTS-ARĒJS
- Wire: Digitālā suverenitāte 2025 — VERIFICĒTS-ARĒJS
- GDPR.eu izpildes izsekotājs — VERIFICĒTS-ARĒJS