Orzeczenie w sprawie TikToka, które zmieniło suwerenność danych
Zaktualizowano w 2026 r.
W maju 2025 r. irlandzka Komisja Ochrony Danych (DPC) nałożyła na TikTok karę w wysokości 530 milionów euro. Powód był prosty. TikTok przekazywał dane użytkowników z UE do Chin bez odpowiednich zabezpieczeń.
To druga najwyższa jednorazowa kara RODO w historii. Wyższa jest tylko kara 1,2 miliarda euro nałożona na Meta w 2023 r. — również przez irlandzki DPC — za przekazywanie danych użytkowników z UE na serwery Facebooka w USA.
Obie sprawy mają wspólny wzorzec. Transgraniczne transfery danych bez odpowiednich zabezpieczeń przyciągają największe kary. Regulatorzy będą kontynuować egzekwowanie, dopóki firmy nie zmienią postępowania.
Łączne grzywny RODO osiągnęły 5,65 miliarda euro do końca 2025 r. Egzekwowanie prawa to już nie ryzyko w tle — to aktywny koszt prowadzenia działalności. Zobacz nasze praktyczne omówienie zgodności z RODO.
Co rozstrzygnęła sprawa TikToka
Sprawa nie dotyczyła naruszenia bezpieczeństwa. Chodziło o to, gdzie trafiają dane użytkowników i na jakiej podstawie prawnej są transferowane przez granice.
TikTok przechowywał dane użytkowników z UE na serwerach, do których dostęp miał personel w Chinach. Art. 44–46 RODO ogranicza transfery do krajów nieposiadających decyzji o adekwatności wydanej przez UE. Chiny takiej decyzji nie posiadają. TikTok twierdził, że wdrożył odpowiednie środki techniczne. Regulatorzy uznali inaczej.
Lekcja jest prosta. Hostowanie danych w UE nie wystarczy, jeśli personel spoza UE może uzyskać do nich dostęp. Nie wystarczy też, jeśli firma podlega prawu kraju nieposiadającego adekwatności.
Ma to znaczenie przy wyborze dostawców SaaS. Dostawca może deklarować „hostujemy w UE”. Ale jeśli jego spółka matka ma siedzibę w innym kraju, to samo ryzyko istnieje. Jeśli jego pracownicy wsparcia uzyskują dostęp do danych użytkowników spoza UE — to samo ryzyko istnieje. A klienci tego dostawcy ponoszą je razem z nim. Sprawdź naszą listę kontrolną zgodności z RODO przed podpisaniem umowy powierzenia danych.
Kary RODO: 5,65 miliarda euro i wciąż rośnie
| Decyzja egzekucyjna | Kara | Rok | Podstawa |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 mld € | 2023 | Nielegalne transfery UE-USA |
| TikTok — DPC | 530 mln € | 2025 | Transfery UE-Chiny |
| Amazon — CNPD Luksemburg | 746 mln € | 2021 | Targetowanie reklamowe |
| WhatsApp — DPC | 225 mln € | 2021 | Naruszenia przejrzystości |
| Google — CNIL Francja | 150 mln € | 2022 | Zgoda na pliki cookie |
Regulatorzy przeszli od ustalania zasad do ich egzekwowania. Naruszenia dotyczące transferów przyciągają teraz największe kary. Dowiedz się, jak radzimy sobie z bezpieczeństwem i zabezpieczeniami.
Niemcy, Szwajcaria i przepisy sektorowe
Art. 44–46 RODO stosuje się do wszystkich sektorów. Jednak niektóre branże podlegają dodatkowym przepisom wykraczającym poza RODO.
Niemcy — ochrona zdrowia: Paragraf V Kodeksu Ubezpieczeń Społecznych (SGB V) ogranicza dokumentację zdrowotną do systemów pod kontrolą niemiecką. Ubezpieczyciel zdrowotny może korzystać z narzędzia chmurowego do deidentyfikacji danych hostowanego w Dublinie — to jest UE. Ale jeśli właścicielem narzędzia jest firma spoza Niemiec, może dojść do naruszenia SGB V.
Szwajcaria — sektor bankowy: Art. 47 Prawa bankowego zakazuje udostępniania dokumentów klientów podmiotom zewnętrznym, w tym dostawcom chmury, bez wyraźnej zgody klienta. Dokumenty klientów szwajcarskiego banku, nawet w narzędziu hostowanym w UE, mogą podlegać temu przepisowi.
Niemcy — sektor publiczny: Wytyczne BfDI ograniczają dokumenty rządowe do systemów prowadzonych przez rząd. Narzędzie do deidentyfikacji na serwerach komercyjnego dostawcy chmury w UE nie spełnia tego standardu.
Lekcja: Zgodność z RODO to podłoga, nie sufit. Wiele sektorów podlega surowszym regulacjom. Nasze omówienie przetwarzania encji mapuje, które przepisy obowiązują w danym sektorze.
Kto posiada decyzję o adekwatności?
RODO pozwala na swobodną wymianę danych użytkowników z krajami, co do których Komisja Europejska uznała, że zapewniają równoważny poziom ochrony. Kwalifikują się następujące kraje:
Andora, Argentyna, Kanada (podmioty komercyjne), Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Korea Południowa, Szwajcaria, Wielka Brytania, Urugwaj i USA (w ramach Data Privacy Framework).
Nie kwalifikują się: Chiny, Indie, Rosja, Brazylia, większość krajów Azji i Pacyfiku, większość Bliskiego Wschodu i większość Afryki.
Ramowy program UE-USA (Data Privacy Framework) obowiązuje ponownie. Ale nadal jest kwestionowany przed sądem. Te same argumenty prawne obaliły Safe Harbor (Schrems I) i Privacy Shield (Schrems II). Firmy korzystające z tego mechanizmu powinny przygotować się na kolejne unieważnienie.
Cztery poziomy ochrony przy wyborze narzędzi
Sprawa TikToka i Mety tworzy wyraźną hierarchię przy ocenie narzędzi SaaS.
Poziom 1 — Hosting w UE: Dane użytkowników są przetwarzane i przechowywane na serwerach w UE. Spełnia to podstawowe wymagania RODO dla większości przypadków użycia.
Poziom 2 — Operator z siedzibą w UE: Spółka matka dostawcy ma siedzibę w UE i nie podlega przepisom krajów nieposiadających adekwatności. To rozwiązuje problem TikToka — hosting w UE połączony z ekspozycją spółki matki na prawo chińskie nie jest bezpieczny.
Poziom 3 — Architektura zero-knowledge: Nawet jeśli dostawca zostanie zhakowany lub otrzyma nakaz sądowy, nie może odczytać Twoich plików. Klucze szyfrowania trzymasz Ty — dostawca posiada wyłącznie zaszyfrowany tekst. Przeczytaj o naszym podejściu zero-knowledge.
Poziom 4 — Przetwarzanie lokalne: Twoje dokumenty nigdy nie opuszczają Twoich własnych systemów. Przetwarzanie odbywa się na lokalnym sprzęcie lub na maszynach pod kontrolą rządu. To jedyna metoda, która w pełni spełnia wymogi niemieckiego SGB V, tajemnicy bankowej w Szwajcarii i wytycznych BfDI. Zobacz nasze plany cenowe po informacje o opcjach aplikacji desktopowej.
DPIA po sprawie TikToka
Art. 35 RODO wymaga przeprowadzenia Oceny Skutków dla Ochrony Danych (DPIA) dla przetwarzania wysokiego ryzyka. Gdy dane użytkowników trafiają do podmiotów przetwarzających w krajach trzecich, wymagana jest również ocena skutków transferu.
Po sprawie TikToka DPIA dla narzędzi chmurowych do redakcji muszą odpowiedzieć na cztery pytania.
Jurysdykcja spółki matki: Czy spółka matka dostawcy podlega przepisom — takim jak CLOUD Act lub chińskie prawo cyberbezpieczeństwa — które mogłyby ją zmusić do przekazania danych użytkowników z UE?
Dostęp personelu: Czy pracownicy w krajach nieposiadających adekwatności uzyskują dostęp do danych użytkowników z UE w ramach normalnych operacji?
Podstawa prawna: Który mechanizm z art. 46 RODO obejmuje ewentualne transfery — standardowe klauzule umowne (SCC), wiążące reguły korporacyjne (BCR) czy wyjątki?
Skutki naruszenia: Jeśli dostawca zostanie zhakowany lub zmuszony do przekazania dokumentów, co zostanie ujawnione?
TikTok pokazał, że same umowy nie wystarczą. Musisz ocenić ich adekwatność i udokumentować swoje wnioski. Przejrzyj nasze FAQ po odpowiedzi na typowe pytania dotyczące DPIA.
Pytania zakupowe na 2026 r.
Inspektorzy Ochrony Danych (IOD) zadają teraz bardzo konkretne pytania przy weryfikacji dostawców SaaS obsługujących narzędzia do przetwarzania danych osobowych:
- Gdzie są zlokalizowane serwery? (UE?)
- Gdzie ma siedzibę spółka matka? (UE? USA? Inne?)
- Czy pracownicy spoza UE mają dostęp do danych klientów z UE?
- Jakie prawo reguluje nakazy sądowe dotyczące danych osobowych?
- Czy dostawca posiada klucze szyfrowania, czy posiadasz je Ty?
- Czy istnieje opcja lokalnego przetwarzania?
Odpowiedzi na te pytania — nie same podpisy pod umowami powierzenia danych — determinują rzeczywistą zgodność z zasadą suwerenności. Dowiedz się, jak anonym.legal zostało zbudowane, by odpowiedzieć na wszystkie te pytania, na stronie oświadczenia założyciela. Możesz też przejrzeć nasz słowniczek kluczowych pojęć po szybkie definicje SCC, BCR i decyzji o adekwatności.
Środowisko po sprawie TikToka jest jasne. Regulatorzy bacznie obserwują transgraniczne transfery danych. Grzywny są wysokie i rosną. Wybór dostawcy to dziś decyzja regulacyjna — nie tylko techniczna.
anonym.legal korzysta z europejskich centrów danych Hetzner z architekturą zero-knowledge. Serwer nigdy nie widzi Twoich treści w postaci zwykłego tekstu. Pełne naruszenie serwera ujawniłoby wyłącznie zaszyfrowany tekst AES-256-GCM. Potrzebujesz przetwarzania wyłącznie lokalnego? Aplikacja desktopowa działa w całości na Twoim urządzeniu bez zewnętrznych połączeń.