anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

Irlandzka DPC: 80% Największych Kar RODO w UE

530 mln € TikTok, 310 mln € LinkedIn, 251 mln € Meta — wszystkie od irlandzkiej DPC. Dlaczego Irlandia gosci siedziby Big Tech w UE i co egzekwowanie DPC oznacza dla SaaS.

June 5, 20268 min czytania
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Dlaczego Irlandia Przewodzi w Egzekwowaniu RODO

Irlandzka Komisja Ochrony Danych (DPC) jest wiodącym organem nadzorczym dla większości dużych europejskich firm technologicznych. To nie przypadek.

Niskie podatki w Irlandii przyciągnęły Apple, Google, Meta, LinkedIn i TikTok — wszystkie założyły tam swoje główne siedziby w UE.

Art. 60 RODO czyni DPC organem wiodącym dla tych firm. Wynikają z tego trzy konsekwencje.

Po pierwsze, skarga złożona w Niemczech na Facebooka trafia do irlandzkiej DPC, a nie do niemieckiego BfDI. Po drugie, DPC współpracuje z innymi organami unijnymi w sprawach transgranicznych. Po trzecie, decyzja DPC przeciwko Meta obowiązuje w całej UE.

Efekt jest jednoznaczny — DPC nałożyła wyższe kary niż wszystkie pozostałe unijne organy razem wzięte. Nasz przegląd zgodności z RODO wyjaśnia, jak przekłada się to na decyzje dotyczące wyboru dostawców.

Trzy Kary Definiujące Lata 2024–2025

530 mln € na TikTok (maj 2025): Chińscy inżynierowie uzyskali dostęp do danych unijnych użytkowników. Naruszyło to art. 44–46 RODO ograniczające transfery do krajów bez unijnej decyzji o adekwatności. Chiny takiej decyzji nie mają. TikTok twierdził, że posiada wystarczające zabezpieczenia. DPC uznała inaczej.

310 mln € na LinkedIn (październik 2024): LinkedIn opierał analizę zachowań na „uzasadnionym interesie”. DPC uznała tę podstawę za nieważną — przetwarzanie nie było konieczne do realizacji zadeklarowanego celu, a test równowagi nie wypadł na korzyść LinkedIn.

251 mln € na Meta (listopad 2024): Naruszenie bezpieczeństwa Facebooka z 2018 r. nie zostało zgłoszone do DPC w terminie. Organ stwierdził ponadto, że słabe dzienniki audytowe uniemożliwiły ustalenie zakresu naruszenia.

Do tych trzech dołączyła wcześniejsza kara 1,2 mld € dla Meta z maja 2023 r. — również od DPC — za nielegalne transfery danych UE-USA. Pozostaje ona najwyższą karą RODO w historii.

W 2024 r. DPC rozpatrzyła ponad 8 500 spraw transgranicznych. Nasza strona dotycząca bezpieczeństwa i zgodności wyjaśnia, jak architektura zero-knowledge odnosi się do każdego z tych naruszeń.

Co Ujawnia Każda z Kar

Naruszenia w Zakresie Transgranicznego Dostępu do Danych

Wszystkie trzy kary łączy jeden zasadniczy problem: dane osobowe były dostępne dla pracowników w krajach nieposiadających ochrony prywatności na poziomie UE.

Kara dla TikToka jest bezpośrednia — unijne dane użytkowników trafiły do chińskich inżynierów pomimo deklarowanych zabezpieczeń.

Co to oznacza przy wyborze dostawców: Zapytaj, czy pracownicy spoza UE mają dostęp do unijnych danych użytkowników w ramach standardowej pracy. Dostawca może hostować dane w Dublinie, a jednocześnie udostępniać unijne pliki pracownikom wsparcia technicznego w USA. Lokalizacja w UE sama w sobie nie wystarczy. Nasz przewodnik po przetwarzaniu encji pokazuje, jak mechanizmy kontroli dostępu przekładają się na wymogi art. 46 RODO.

Naruszenia Dotyczące Podstawy Prawnej Przetwarzania

Kara dla LinkedIn nie dotyczyła naruszenia bezpieczeństwa, lecz sposobu, w jaki LinkedIn uzasadniał przetwarzanie danych.

„Uzasadniony interes” nie jest prawem bezwarunkowym. Administratorzy muszą dokumentować rzeczywisty test równowagi, wykazując, że ich interes przeważa nad prawami użytkownika. Nasz przewodnik po zgodności opisuje, jak weryfikować roszczenia dostawców do podstawy prawnej.

Naruszenia w Zakresie Rejestrowania i Zgłaszania Incydentów

Kara 251 mln € dla Meta zawierała kluczowe ustalenie: słabe dzienniki audytowe uniemożliwiły ustalenie zakresu naruszenia.

Art. 33 RODO wymaga zgłoszenia naruszenia w ciągu 72 godzin. Zgłoszenie musi zawierać zakres naruszonych danych. Nie można zgłosić zakresu, którego się nie jest w stanie zmierzyć.

Zapytaj potencjalnych dostawców o strukturę ich dzienników audytowych. Jeśli po incydencie dostawca nie jest w stanie odpowiedzieć na pytanie „które dane zostały ujawnione?”, nie spełnia wymagań art. 33 ust. 3 lit. b RODO.

Wzorzec w Sprawach DPC

Analizując wszystkie cztery główne kary DPC, wyłania się jeden wzorzec: organy działają przeciwko projektom, w których inżynierowie dostawcy mogą przeglądać treść danych użytkowników. Każda duża kara dotyczyła niedostatecznie kontrolowanego dostępu do danych osobowych.

Architektura zero-knowledge odpowiada na zasadnicze obawy w każdej z tych spraw. Treść użytkownika jest szyfrowana, a dostawca nie posiada kluczy deszyfrujących.

W sprawach transferów TikToka i Meta — pracownicy spoza UE docierają do serwera, ale widzą wyłącznie szyfrogramy. Żadne czytelne dane nie są ujawniane. W sprawie naruszenia Meta — pełny kompromis serwera nie ujawnia niczego użytecznego, a zakres naruszenia drastycznie się zmniejsza. W sprawie LinkedIn — dostawca, który nigdy nie widzi tekstu jawnego, nie może prowadzić na nim analizy behawioralnej.

To bezpośrednia odpowiedź na każdą z decyzji DPC. Szczegóły znajdziesz w naszym przeglądzie bezpieczeństwa lub w oświadczeniu założyciela wyjaśniającym, dlaczego anonym.legal zostało zbudowane w ten sposób od pierwszego dnia.

Co Oznacza „Główna Siedziba”

Niektóre firmy strukturyzują swoją działalność w UE tak, aby kontrolować, który organ ma jurysdykcję. Stanowisko DPC w tej kwestii ma znaczenie.

„Główna siedziba” to nie tylko adres firmy — to miejsce, w którym zlokalizowane jest centralne zarządzanie działalnością w UE. Dla administratorów danych jest to miejsce, gdzie podejmowane są decyzje o celach przetwarzania.

Firma z zespołem ds. prywatności w Londynie może nie mieć głównej siedziby w UE. Wówczas każdy krajowy organ ochrony danych może rościć sobie uprawnienie do rozpatrywania lokalnych skarg.

Pytania na Potrzeby Oceny Dostawców

Poniższe pytania pomogą przy ocenie dostawców SaaS przetwarzających dane osobowe.

Jurysdykcja i dostęp:

  • Gdzie znajduje się główna siedziba dostawcy w UE?
  • Czy pracownicy spoza UE mają standardowy dostęp do danych unijnych użytkowników?
  • Czy spółka dominująca dostawcy podlega CLOUD Act lub chińskim przepisom o bezpieczeństwie?

Projekt techniczny:

  • Czy treść unijnych użytkowników pozostaje na serwerach hostowanych w UE?
  • Czy dostawca posiada klucze szyfrowania, czy robi to klient?
  • Czy dzienniki audytowe są wystarczająco szczegółowe, aby zmierzyć zakres ewentualnego naruszenia?

Dokumentacja transferów:

  • Jaki mechanizm z art. 46 RODO obejmuje ewentualne przepływy UE-USA?
  • Czy dostawca przeprowadził ocenę skutków transferu (TIA)?
  • Jakie dodatkowe środki techniczne zostały wdrożone?

Egzekwowanie DPC jest konsekwentne w jednym punkcie: nawet firmy posiadające zespoły ds. prywatności i IOD płacą wysokie kary, gdy projekt techniczny nie odpowiada składanym deklaracjom. Więcej informacji znajdziesz w naszym katalogu przypadków i centrum FAQ.

anonym.legal korzysta z serwerów Hetzner w UE i stosuje architekturę zero-knowledge. Serwery przechowują wyłącznie szyfrogramy AES-256-GCM. Pełne naruszenie nie ujawnia żadnych czytelnych danych. Aplikacja Desktop przetwarza całą treść lokalnie na urządzeniu, bez połączeń zewnętrznych.

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.