anonym.legal

By · Last updated 2026-06-05

Kembali ke BlogGDPR & Pematuhan

DPC Ireland: 80% Denda Mega GDPR EU

€530 juta TikTok, €310 juta LinkedIn, €251 juta Meta — semua dari DPC Ireland. Inilah sebab Ireland menjadi ibu pejabat EU Big Tech dan apa yang penguatkuasaan DPC bermaksud untuk SaaS.

June 5, 20268 min baca
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Mengapa Ireland Memimpin Penguatkuasaan EU

Komisyen Perlindungan Data Ireland (DPC) adalah pihak berkuasa utama bagi kebanyakan syarikat teknologi besar EU. Ini bukan kebetulan.

Kadar cukai rendah Ireland menarik Apple, Google, Meta, LinkedIn, dan TikTok. Mereka semua menubuhkan pejabat EU utama mereka di sana.

Artikel 60 GDPR menjadikan DPC sebagai pihak berkuasa utama untuk firma-firma ini. Tiga perkara mengikuti daripada peraturan ini.

Pertama, aduan di Jerman tentang Facebook pergi ke DPC Ireland, bukan BfDI Jerman. Kedua, DPC bekerjasama dengan badan-badan EU lain pada kes rentas sempadan. Ketiga, keputusan DPC terhadap Meta terpakai di seluruh EU.

Hasilnya jelas. DPC telah mengeluarkan nilai denda lebih banyak daripada semua badan EU lain digabungkan. Lihat gambaran keseluruhan pematuhan GDPR kami tentang bagaimana ini membentuk keputusan vendor.

Tiga Denda Yang Mentakrifkan 2024-2025

€530 juta terhadap TikTok (Mei 2025): Jurutera China mengakses rekod pengguna EU. Ini melanggar Artikel 44-46 GDPR. Peraturan tersebut menyekat pemindahan ke negara tanpa keputusan kecukupan EU. China tidak mempunyainya. TikTok mendakwa ia mempunyai kawalan yang mencukupi. DPC berkata tidak.

€310 juta terhadap LinkedIn (Oktober 2024): LinkedIn bergantung pada "kepentingan sah" untuk analisis tingkah laku. DPC mendapati ini tidak sah. Pemprosesan tidak diperlukan untuk matlamat yang dinyatakan. Ujian keseimbangan tidak memihak kepada LinkedIn.

€251 juta terhadap Meta (November 2024): Pelanggaran Facebook 2018 tidak dilaporkan kepada DPC tepat pada masanya. DPC juga mendapati bahawa log audit yang lemah menjadikannya mustahil untuk mengukur apa yang terdedah.

Ketiga-tiga ini bergabung dengan denda Meta €1.2 bilion lebih awal dari Mei 2023. Denda itu juga datang dari DPC, untuk pemindahan EU-AS yang menyalahi undang-undang. Ia kekal sebagai penalti GDPR terbesar yang pernah dikeluarkan.

DPC mengendalikan lebih 8,500 kes rentas sempadan pada 2024. Layari halaman keselamatan dan pematuhan kami untuk melihat bagaimana reka bentuk tanpa pengetahuan menangani setiap kegagalan.

Apa yang Setiap Denda Dedahkan

Kegagalan Akses Rentas Sempadan

Ketiga-tiga denda berkongsi satu isu teras. Rekod peribadi terbuka kepada kakitangan di negara tanpa peraturan privasi peringkat EU.

Denda TikTok adalah langsung. Fail pengguna EU sampai ke jurutera China walaupun terdapat kawalan yang dinyatakan.

Apa ini bermaksud untuk pemilihan vendor: Tanya sama ada kakitangan bukan EU boleh mengakses rekod pengguna EU dalam kerja biasa. Vendor mungkin mengehoskan di Dublin tetapi masih mendedahkan fail EU melalui kakitangan sokongan berasaskan AS. Kediaman EU sahaja tidak mencukupi. Panduan pemprosesan entiti kami menunjukkan bagaimana kawalan akses dipetakan kepada Artikel 46 GDPR.

Kegagalan Asas Undang-undang

Denda LinkedIn bukan tentang pelanggaran. Ia tentang bagaimana LinkedIn membenarkan pemprosesannya.

"Kepentingan sah" bukan hak yang menyeluruh. Pengawal mesti mendokumentasikan ujian keseimbangan yang tulen. Ujian itu mesti menunjukkan kepentingan mereka mengatasi hak pengguna. Halaman pematuhan kami merangkumi cara menyemak tuntutan asas undang-undang vendor.

Kegagalan Pengelogan dan Notis

Denda €251 juta Meta memasukkan penemuan utama. Log audit yang lemah menjadikan skop pelanggaran mustahil untuk diukur.

Artikel 33 GDPR memerlukan notis pelanggaran dalam masa 72 jam. Notis tersebut mesti memasukkan skop rekod yang terjejas. Anda tidak boleh melaporkan skop yang tidak boleh anda ukur.

Tanya bakal vendor tentang struktur log audit mereka. Jika vendor tidak boleh menjawab "rekod mana yang terdedah?" selepas satu insiden, mereka gagal Artikel 33(3)(b).

Corak Merentasi Kes DPC

Baca semua empat denda utama DPC dan satu corak muncul. Pengawal selia bertindak terhadap reka bentuk di mana jurutera vendor boleh melihat kandungan pengguna. Setiap denda utama melibatkan akses yang kurang terkawal kepada rekod peribadi.

Reka bentuk tanpa pengetahuan menangani kebimbangan teras dalam setiap kes. Kandungan pengguna disulitkan. Vendor tidak memegang kunci penyahsulitan.

Untuk kes pemindahan TikTok dan Meta, jurutera bukan EU mencapai pelayan tetapi hanya melihat ciphertext. Tiada rekod yang boleh dibaca terdedah. Untuk kes pelanggaran Meta, kompromi pelayan sepenuhnya tidak menghasilkan apa-apa yang berguna. Skop pelanggaran mengecil. Untuk LinkedIn, vendor yang tidak pernah melihat teks biasa tidak boleh menjalankan analisis tingkah laku ke atasnya.

Ini adalah jawapan langsung kepada setiap tindakan DPC. Lihat gambaran keseluruhan keselamatan kami untuk butiran, atau pernyataan pengasas kami tentang mengapa anonym.legal dibina dengan cara ini dari hari pertama.

Apa Maksud "Pertubuhan Utama"

Sesetengah syarikat menghala struktur EU mereka untuk mengawal DPA mana yang mempunyai bidang kuasa. Pandangan DPC penting di sini.

"Pertubuhan utama" bukan sekadar alamat syarikat. Ia adalah tempat pengurusan EU pusat berada. Untuk pengawal, ia adalah tempat keputusan tentang matlamat pemprosesan dibuat.

Firma dengan pasukan privasi London mungkin tidak mempunyai pertubuhan utama EU. DPA setiap negeri anggota kemudiannya boleh menuntut kuasa untuk aduan tempatan.

Soalan Semakan Vendor

Gunakan soalan-soalan ini apabila anda menilai vendor SaaS yang mengendalikan rekod peribadi.

Bidang kuasa dan akses:

  • Di manakah pertubuhan utama EU vendor?
  • Bolehkah kakitangan bukan EU mengakses rekod pengguna EU dalam kerja biasa?
  • Adakah induk vendor tertakluk kepada CLOUD Act atau undang-undang keselamatan China?

Reka bentuk teknikal:

  • Adakah kandungan pengguna EU kekal pada pelayan yang diehoskan di EU?
  • Adakah vendor memegang kunci enkripsi, atau pelanggan?
  • Adakah log audit cukup terperinci untuk mengukur skop pelanggaran?

Rekod pemindahan:

  • Apakah mekanisme Artikel 46 GDPR yang merangkumi mana-mana aliran EU-AS?
  • Adakah vendor telah melakukan Penilaian Impak Pemindahan?
  • Apakah langkah teknikal tambahan yang ada?

Penguatkuasaan DPC konsisten pada satu perkara. Walaupun firma dengan pasukan privasi dan DPO menghadapi denda besar apabila reka bentuk teknikal mereka tidak sepadan dengan tuntutan mereka. Lihat kajian kes dan Soalan Lazim kami untuk maklumat lanjut.

anonym.legal menggunakan pelayan Hetzner berasaskan EU dengan reka bentuk tanpa pengetahuan. Pelayan hanya menyimpan ciphertext AES-256-GCM. Pelanggaran sepenuhnya tidak mendedahkan sebarang rekod yang boleh dibaca. Aplikasi Desktop memproses semua kandungan pada peranti dengan tiada pautan luaran.

Sumber

Artikel Berkaitan

GDPR & Pematuhan

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pematuhan

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pematuhan

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sedia untuk melindungi data anda?

Mulakan pengenalan PII dengan 285+ jenis entiti dalam 48 bahasa.

Mulakan Percubaan PercumaLihat Ciri-ciri

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.