Orzeczenie TikTok, które zdefiniowało suwerenność danych
W maju 2025 roku Irlandzka Komisja Ochrony Danych nałożyła karę w wysokości €530M na TikTok za transfer danych użytkowników z UE do Chin bez odpowiednich zabezpieczeń.
Kara ta jest obecnie drugą co do wielkości indywidualną karą GDPR w historii, ustępując jedynie karze w wysokości €1.2B nałożonej na Meta w 2023 roku, również wydanej przez Irlandzką DPC, za nielegalne transfery danych z UE do amerykańskich serwerów Facebooka. Razem te dwa przypadki ustanawiają wyraźny wzór egzekwowania: transgraniczne transfery danych bez odpowiednich zabezpieczeń są priorytetowym obszarem egzekwowania, a DPC nałoży kary w skali, która wymusi zmianę zachowań.
Z €5.65B łącznych kar GDPR do 2025 roku (śledzenie egzekwowania GDPR.eu), egzekwowanie GDPR nie jest już ryzykiem zgodności w tle — to aktywny koszt biznesowy, który regulatorzy aktywnie nakładają.
Co orzekł przypadek TikTok
Sprawa TikTok nie dotyczyła głównie praktyk bezpieczeństwa ani naruszeń danych. Chodziło o lokalizację danych i podstawy prawne dla międzynarodowych transferów danych.
Operacje TikTok w UE przechowywały i przetwarzały dane użytkowników UE na serwerach, do których dostęp mieli pracownicy w Chinach. Artykuły 44-46 GDPR ograniczają międzynarodowe transfery danych do krajów, które nie mają decyzji o adekwatności UE, chyba że są wprowadzone konkretne mechanizmy prawne. Chiny nie mają decyzji o adekwatności UE. Argument TikTok, że wdrożył odpowiednie środki techniczne, nie został zaakceptowany.
Lekcja strukturalna: "nasze serwery są w UE" nie jest wystarczające, jeśli dane mogą być dostępne przez personel spoza UE, lub jeśli organizacja podlega prawom kraju z uprawnieniami dostępu państwowego, które są sprzeczne z GDPR.
To jest bezpośrednio istotne dla organizacji oceniających dostawców SaaS. Dostawca, który mówi "hostujemy w UE", ale którego firma matka ma siedzibę w USA, lub którego personel wsparcia ma dostęp spoza UE, może stanąć przed tym samym wyzwaniem regulacyjnym, z którym zmierzył się TikTok — a ich klienci również mogą się z tym zmierzyć.
Łączny obraz: €5.65B w karach GDPR
| Działania egzekwujące | Kara | Rok | Podstawa |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | Nielegalne transfery UE-USA |
| TikTok — DPC | €530M | 2025 | Transfery UE-Chiny |
| Amazon — CNPD Luksemburg | €746M | 2021 | Targetowanie reklamowe |
| WhatsApp — DPC | €225M | 2021 | Nieprawidłowości w przejrzystości |
| Google — CNIL Francja | €150M | 2022 | Zgoda na pliki cookie |
Łączna kwota €5.65B do 2025 roku odzwierciedla dojrzewanie egzekwowania GDPR: regulatorzy przeszli od ustanawiania precedensów do systematycznego egzekwowania w różnych kategoriach naruszeń. Naruszenia transferów danych są teraz kategorią z najwyższymi karami, co odzwierciedla priorytety regulacyjne.
Problem niemieckiego sektora zdrowia
Artykuły 44-46 GDPR mają zastosowanie w równym stopniu w wszystkich sektorach, ale niektóre sektory stają przed dodatkowymi wymaganiami suwerennymi dotyczącymi danych poza GDPR.
Niemiecka opieka zdrowotna: Kodeks społeczny Księga V (SGB V) ogranicza przetwarzanie danych zdrowotnych do systemów kontrolowanych przez Niemców. Niemiecki ubezpieczyciel zdrowot korzystający z narzędzia do anonimizacji w chmurze hostowanego w Dublinie — które technicznie jest w UE — może nadal być niezgodny z SGB V, jeśli operator narzędzia jest podmiotem niebędącym niemieckim, z potencjalnymi konfliktami z prawem niemieckim.
Szwajcarskie bankowość: Prawo o tajemnicy bankowej w Szwajcarii (artykuł 47 Ustawy o bankowości) zabrania ujawniania informacji o klientach osobom nieupoważnionym, w tym dostawcom usług w chmurze, którzy nie są objęci wyraźną zgodą klienta. Dane klientów prywatnego banku szwajcarskiego przetwarzane przez jakiekolwiek narzędzie w chmurze — nawet hostowane w UE — mogą wywołać obowiązki związane z tajemnicą bankową.
Niemiecki sektor publiczny: Wytyczne BfDI (Federalny Komisarz Ochrony Danych) ograniczają dane agencji rządowych do infrastruktury kontrolowanej przez rząd. Narzędzie do anonimizacji hostowane na serwerach dostawcy chmury komercyjnej w UE nie spełnia tego wymogu.
Te przypadki ilustrują, że zgodność z GDPR to podstawa, a nie sufit. Dla regulowanych branż i organizacji sektora publicznego, wymagania suwerenne dotyczące danych często nakładają dodatkowe ograniczenia, które wykraczają poza lokalizację hostingu.
Krajobraz decyzji o adekwatności
Międzynarodowy framework transferu danych GDPR zależy od wydania przez Komisję Europejską "decyzji o adekwatności" dla krajów uznawanych za zapewniające równoważną ochronę danych. Aktualny krajobraz adekwatności:
Kraje z decyzjami o adekwatności: Andora, Argentyna, Kanada (organizacje komercyjne), Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Korea Południowa, Szwajcaria, Wielka Brytania, Urugwaj, USA (Ramowy Program Ochrony Prywatności — przywrócony po unieważnieniu Schrems II)
Kraje bez adekwatności: Chiny, Indie, Rosja, Brazylia, większość APAC, większość MENA, większość Afryki
Ramowy Program Ochrony Prywatności (UE-USA) został przywrócony po negocjacjach politycznych, ale pozostaje przedmiotem kontrowersji prawnych. Obrońcy prywatności już sygnalizowali wyzwania prawne oparte na argumentach dotyczących prawa do nadzoru w USA, które unieważniły jego poprzedników (Safe Harbor w Schrems I, Privacy Shield w Schrems II).
Organizacje polegające na Ramowym Programie Ochrony Prywatności UE-USA jako podstawie prawnej dla przetwarzania danych hostowanych w USA powinny mieć plany awaryjne na wypadek kolejnego unieważnienia.
Jak wymagania dotyczące suwerenności danych przekładają się na wybór narzędzi
Łączny obraz z TikTok, Meta i podstawowego frameworku regulacyjnego tworzy hierarchię zapewnienia zgodności dla wyboru narzędzi SaaS:
Poziom 1 — hostowanie w UE: Dane są przetwarzane i przechowywane na serwerach fizycznie zlokalizowanych w UE. To spełnia podstawowy wymóg GDPR dla danych, które nie wymagają ochrony na poziomie suwerennym.
Poziom 2 — operator z siedzibą w UE: Podmiot kontrolujący dostawcę ma siedzibę w UE i nie podlega prawom kraju, który nie ma adekwatności. To rozwiązuje problem TikTok, gdzie hostowanie w UE było połączone z narażeniem na prawo chińskie dla podmiotu matki.
Poziom 3 — architektura zero-knowledge: Nawet jeśli dostawca zostanie naruszony, zmuszony przez organy ścigania lub zobowiązany do udostępnienia danych przez obcy rząd, nie może uzyskać dostępu do danych w postaci niezaszyfrowanej, ponieważ klucze szyfrujące są przechowywane wyłącznie przez klienta. To rozwiązuje scenariusz, w którym nawet w pełni zgodny z GDPR dostawca otrzymuje żądanie prawne.
Poziom 4 — lokalne przetwarzanie: Dane nigdy nie opuszczają infrastruktury organizacji. Przetwarzanie odbywa się na lokalnym sprzęcie lub systemach kontrolowanych przez rząd. To jedyne podejście, które w pełni spełnia wymagania niemieckiego SGB V, tajemnicy bankowej w Szwajcarii, wymagań sektora publicznego BfDI i podobnych suwerennych mandatów dotyczących danych.
Praktyczne konsekwencje dla DPIA GDPR
Oceny wpływu na ochronę danych (DPIA) wymagane na podstawie artykułu 35 GDPR dla przetwarzania wysokiego ryzyka muszą obejmować ocenę wpływu transferu, gdy dane są udostępniane podmiotom przetwarzającym z krajów trzecich. Po orzeczeniu TikTok, DPIA dla narzędzi do anonimizacji w chmurze muszą wyraźnie odnosić się do:
-
Jurysdykcja firmy matki: Czy firma matka dostawcy podlega prawom (CLOUD Act, chińskie prawo o cyberbezpieczeństwie itp.), które mogą wymagać produkcji danych klientów z UE?
-
Dostęp personelu wsparcia: Czy personel wsparcia lub inżynieryjny w krajach bez adekwatności ma dostęp do danych klientów z UE w ramach normalnych operacji?
-
Podstawa prawna dla transferów: Jaki konkretny mechanizm artykułu 46 GDPR ma zastosowanie do jakichkolwiek przepływów danych do krajów bez adekwatności (SCC, BCR, derogacje)?
-
Analiza wpływu naruszenia: Jeśli dostawca zostanie naruszony lub zmuszony do produkcji danych, jakie dane klientów z UE będą narażone?
Dla organizacji korzystających z narzędzi do anonimizacji w chmurze, te pytania mają konkretne odpowiedzi, które muszą być udokumentowane. Orzeczenie TikTok pokazało, że "mamy umowy" nie jest wystarczające, jeśli te umowy nie zostały odpowiednio ocenione pod kątem adekwatności.
Co to oznacza dla zakupów w 2026 roku
Po orzeczeniu TikTok, DPO przeglądający dostawców SaaS w celu narzędzi do przetwarzania danych zadają bardziej szczegółowe pytania niż wcześniej:
- Gdzie są serwery? (UE?)
- Gdzie zarejestrowana jest firma matka? (UE? USA? Inne?)
- Czy pracownicy spoza UE mają dostęp do danych klientów z UE?
- Jakie prawo ma zastosowanie do żądań danych ze strony organów ścigania?
- Czy istnieje architektura zero-knowledge, czy dostawca posiada klucze szyfrujące?
- Czy istnieje opcja lokalnego przetwarzania?
Odpowiedzi na te pytania — a nie obecność podpisów DPA — określają rzeczywistą zgodność z suwerennością danych w regulacyjnym środowisku po TikTok.
Platforma internetowa anonym.legal korzysta z centrów danych Hetzner z siedzibą w UE z architekturą zero-knowledge — serwer nigdy nie otrzymuje niezaszyfrowanych danych klientów, a pełne naruszenie serwera skutkuje jedynie szyfrowanym tekstem AES-256-GCM. Dla organizacji wymagających przetwarzania wyłącznie lokalnego, aplikacja Desktop przetwarza wszystkie dane na urządzeniu bez komunikacji zewnętrznej.
Źródła: