anonym.legal

By · Last updated 2026-06-05

Atpakaļ uz BloguGDPR un Atbilstība

Īrijas DPC: 80% no ES GDPR megasodiem

530 miljoni eiro TikTok, 310 miljoni eiro LinkedIn, 251 miljoni eiro Meta — visi no Īrijas DPC. Lūk, kāpēc Īrija uzņem lielo tehnoloģiju uzņēmumu ES galvenos birojus un ko DPC izpilde nozīmē SaaS.

June 5, 20268 min lasīšanai
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Kāpēc Īrija vada ES izpildi

Īrijas Datu aizsardzības komisija (DPC) ir galvenā iestāde lielākajai daļai lielo ES tehnoloģiju uzņēmumu. Tas nav nejauši.

Īrijas zemā nodokļu likme piesaistīja Apple, Google, Meta, LinkedIn un TikTok. Visi tie izveidoja savus galvenos ES birojus tur.

GDPR 60. pants padara DPC par vadošo iestādi šiem uzņēmumiem. No šī noteikuma izriet trīs lietas.

Pirmkārt, sūdzība Vācijā par Facebook nonāk Īrijas DPC, nevis Vācijas BfDI. Otrkārt, DPC sadarbojas ar citām ES iestādēm pārrobežu lietās. Treškārt, DPC lēmums pret Meta ir spēkā visā ES.

Rezultāts ir skaidrs. DPC ir izdevusi vairāk sodu naudas nekā visas pārējās ES iestādes kopā. Skatiet mūsu GDPR atbilstības pārskatu par to, kā tas ietekmē pārdevēju lēmumus.

Trīs sodi, kas nosaka 2024.–2025. gadu

530 miljoni eiro pret TikTok (2025. gada maijs): Ķīniešu inženieri piekļuva ES lietotāju datiem. Tas pārkāpa GDPR 44.–46. panta noteikumus. Šie noteikumi ierobežo pārsūtīšanu uz valstīm bez ES atbilstības lēmuma. Ķīnai nav neviena. TikTok apgalvoja, ka tai ir pietiekamas kontroles. DPC teica, ka nav.

310 miljoni eiro pret LinkedIn (2024. gada oktobris): LinkedIn paļāvās uz "leģitīmo interesi" uzvedības analīzei. DPC konstatēja, ka tas ir nederīgs. Apstrāde nebija nepieciešama norādītajam mērķim. Līdzsvara tests nebija LinkedIn labvēlīgs.

251 miljoni eiro pret Meta (2024. gada novembris): 2018. gada Facebook pārkāpums netika savlaicīgi ziņots DPC. DPC arī konstatēja, ka slikti auditācijas žurnāli padarīja neiespējamu mērīt, kas tika pakļauts.

Šie trīs pievienojās agrākajam 1,2 miljardu eiro Meta sodam no 2023. gada maija. Arī šis sods nāca no DPC — par nelikumīgām ES-ASV pārsūtīšanām. Tas joprojām ir lielākais jebkad izdotais GDPR sods.

DPC 2024. gadā apstrādāja vairāk nekā 8 500 pārrobežu lietu. Aplūkojiet mūsu drošības un atbilstības lapu, lai redzētu, kā nulles zināšanu dizains risina katru kļūmi.

Ko atklāj katrs sods

Pārrobežu piekļuves kļūmes

Visiem trim sodiem ir viena galvenā problēma. Personas dati bija pieejami darbiniekiem valstīs bez ES līmeņa privātuma noteikumiem.

TikTok sods bija tiešs. ES lietotāju faili nonāca pie Ķīnas inženieriem, neraugoties uz norādītajām kontrolēm.

Ko tas nozīmē pārdevēju izvēlē: Jautājiet, vai ES pārdevēja inženieri ārpus ES var piekļūt ES lietotāju datiem normālā darba laikā. Pārdevējs var izmitināt Dublinā, bet joprojām pakļauj ES failus caur ASV bāzētu atbalsta personālu. ES atrašanās vien nav pietiekama. Mūsu vienību apstrādes rokasgrāmata parāda, kā piekļuves kontroles korelē ar GDPR 46. pantu.

Tiesiskā pamata kļūmes

LinkedIn sods nebija par pārkāpumu. Tas bija par to, kā LinkedIn pamatoja savu apstrādi.

"Leģitīmā interese" nav vispārējas tiesības. Pārziņiem jādokumentē patiess līdzsvara tests. Šim testam jāparāda, ka viņu interese pārsniedz lietotāja tiesības. Mūsu atbilstības lapa aptver, kā pārskatīt pārdevēja tiesiskā pamata apgalvojumus.

Reģistrācijas un paziņojumu kļūmes

Meta 251 miljonu eiro sods ietvēra galveno atklājumu. Slikti auditācijas žurnāli padarīja neiespējamu mērīt pārkāpuma apmēru.

GDPR 33. pants prasa pārkāpuma paziņojumu 72 stundu laikā. Šim paziņojumam jāietver ietekmēto ierakstu apmērs. Jūs nevarat ziņot apmēru, ko nevarat izmērīt.

Jautājiet potenciālajiem pārdevējiem par viņu auditācijas žurnāla struktūru. Ja pārdevējs pēc incidenta nevar atbildēt uz jautājumu "kuri dati tika pakļauti?", viņš neatbilst 33.(3)(b) panta prasībām.

Modelis DPC lietās

Izlasot visus četrus galvenos DPC sodus, parādās viens modelis. Regulatori rīkojas pret dizainiem, kur pārdevēja inženieri var redzēt lietotāju saturu. Katrā lielā sodā bija nepietiekami kontrolēta piekļuve personas datiem.

Nulles zināšanu dizains risina pamata bažas katrā gadījumā. Lietotāja saturs ir šifrēts. Pārdevējam nav atšifrēšanas atslēgu.

TikTok un Meta pārsūtīšanas lietās ES ārpus inženieri sasniedz serveri, bet redz tikai šifrētu tekstu. Neviens lasāmi dati nav pakļauti. Meta pārkāpuma lietā pilna servera uzlaušana nedod neko noderīgu. Pārkāpuma apmērs samazinās. LinkedIn gadījumā pārdevējs, kas nekad neredz vienkāršo tekstu, nevar veikt uzvedības analīzi uz tā.

Šis ir tiešs atbilde uz katru DPC darbību. Skatiet mūsu drošības pārskatu sīkākai informācijai vai mūsu dibinātāja paziņojumu par to, kāpēc anonym.legal tika veidots šādi no paša sākuma.

Ko nozīmē "galvenais uzņēmums"

Daži uzņēmumi virza savu ES struktūru, lai kontrolētu, kurai DPA ir jurisdikcija. DPC viedoklis šeit ir svarīgs.

"Galvenais uzņēmums" nav tikai uzņēmuma adrese. Tas ir vieta, kur atrodas centrālā ES vadība. Pārziņiem tas ir vieta, kur tiek pieņemti lēmumi par apstrādes mērķiem.

Uzņēmumam ar Londonas privātuma komandu var nebūt ES galvenā uzņēmuma. Katra dalībvalsts DPA varētu tad apgalvot autoritāti vietējo sūdzību gadījumā.

Pārdevēju pārskates jautājumi

Izmantojiet šos jautājumus, novērtējot SaaS pārdevējus, kas apstrādā personas datus.

Jurisdikcija un piekļuve:

  • Kur atrodas pārdevēja ES galvenais uzņēmums?
  • Vai ES ārpus darbinieki var piekļūt ES lietotāju datiem normālā darba laikā?
  • Vai pārdevēja māte ir pakļauta CLOUD Act vai Ķīnas drošības likumiem?

Tehniskais dizains:

  • Vai ES lietotāju saturs paliek ES izmitinātos serveros?
  • Vai pārdevējs tur šifrēšanas atslēgas, vai to dara klients?
  • Vai auditācijas žurnāli ir pietiekami detalizēti, lai izmērītu pārkāpuma apmēru?

Pārsūtīšanas ieraksti:

  • Kāds GDPR 46. panta mehānisms attiecas uz jebkādām ES-ASV plūsmām?
  • Vai pārdevējs ir veicis pārsūtīšanas ietekmes novērtējumu?
  • Kādi papildu tehniskie pasākumi ir veikti?

DPC izpilde ir konsekventa vienā punktā. Pat uzņēmumi ar privātuma komandām un DSP saskaras ar lieliem sodiem, ja to tehniskais dizains neatbilst viņu apgalvojumiem. Skatiet mūsu gadījumu izpētes un BUJ plašākai informācijai.

anonym.legal izmanto ES bāzētus Hetzner serverus ar nulles zināšanu dizainu. Serveri glabā tikai AES-256-GCM šifrētu tekstu. Pilnīga uzlaušana neatsedz nevienu lasāmu datu. Darbvirsmas lietotne apstrādā visu saturu ierīcē bez ārējiem sakariem.

Avoti

Saistītie Raksti

GDPR un Atbilstība

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR un Atbilstība

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR un Atbilstība

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Vai esat gatavi aizsargāt savus datus?

Sāciet PII anonimizāciju ar 285+ entitāšu veidiem 48 valodās.

Sākt Bezmaksas IzmēģinājumuSkatīt Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.