Прецедент TikTok
Штраф Ирландской комиссии по защите данных в мае 2025 года в размере 530 миллионов евро против TikTok за передачу данных пользователей Европейской экономической зоны в Китай установил прецедент правоприменения, который выходит за рамки компаний социальных сетей. Вывод DPC: TikTok нарушил статью 46(1) GDPR, передав персональные данные третьей стране — Китаю — без адекватных мер защиты. Нарушением была передача, а не сбор или обработка данных, которые последовали.
Область применения прецедента: любая передача персональных данных ЕС на сервер, не относящийся к ЕС, для обработки — включая обработку легитимным, соответствующим инструментом — является передачей данных в соответствии со статьями 44-49 GDPR. Передача требует либо решения о соответствии (ЕС признал защиту данных принимающей страны адекватной), стандартных договорных условий (договорные защиты, обязывающие получателя), обязательных корпоративных правил (утвержденная внутренняя многонациональная структура) или другого механизма статьи 46.
Кумулятивные штрафы по GDPR достигли 5,65 миллиарда евро к 2025 году. Нарушения передачи данных теперь в среднем составляют 18 миллионов евро за каждое действие по правоприменению (DLA Piper 2025), что делает их одной из категорий правоприменения с высокими ставками.
Парадокс инструмента анонимизации
Организация, использующая инструмент анонимизации SaaS, базирующийся в США, для обработки данных клиентов ЕС, сталкивается со структурной проблемой GDPR. Рабочий процесс: данные клиентов ЕС загружаются на серверы инструмента анонимизации в США, обрабатываются и возвращаются анонимизированными. Анонимизированные данные хранятся и используются в ЕС. Сырые персональные данные — оригинальные данные клиентов ЕС — проходили через серверы США во время этапа обработки.
Этот транзит является передачей данных в соответствии с GDPR. Намерение организации (анонимизировать данные для целей соблюдения) не устраняет анализ статьи 44-49. Тот факт, что данные впоследствии были анонимизированы, не отменяет передачу предварительно анонимизированных персональных данных.
Анализ TikTok Ирландского DPC напрямую применим: нарушением является передача персональных данных на сервер, не относящийся к ЕС, независимо от того, какая обработка происходит на принимающем сервере. Инструмент анонимизации, базирующийся в США, который получает персональные данные ЕС на серверах США, получил передачу персональных данных ЕС. Организация, использующая инструмент, нуждается в том же решении о соответствии, стандартных договорных условиях или обязательных корпоративных правилах, что и любая другая передача данных.
Решение архитектуры нулевых знаний
Решение является архитектурным: инструмент анонимизации, который никогда не получает персональные данные, не может быть причиной передачи данных. Подход нулевых знаний — когда обнаружение и замена PII происходят на стороне клиента, и только анонимизированный вывод передается или хранится на серверах инструмента — устраняет проблему передачи данных.
В рамках архитектуры нулевых знаний: сырые персональные данные клиентов ЕС обрабатываются в браузере пользователя или локальном приложении. Обнаружение PII происходит локально. Анонимизированный вывод (с реальными PII, замененными токенами или зашифрованными значениями) является единственными данными, передаваемыми на сервер. Сервер получает анонимизированные данные — данные, которые, если анонимизация завершена, не являются персональными данными в соответствии с GDPR.
Для организаций, документирующих свои записи обработки (ROPA) в соответствии со статьей 30, эта архитектурная разница имеет значение: запись ROPA для инструмента анонимизации на сервере ЕС с нулевыми знаниями не фиксирует трансграничную передачу. Запись ROPA для инструмента анонимизации на сервере США, который получает сырые персональные данные, фиксирует трансграничную передачу, требующую документации правовой основы.
Источники: