Решение по делу TikTok, которое переопределило суверенитет данных
В мае 2025 года Ирландская комиссия по защите данных наложила штраф в €530M на TikTok за передачу данных пользователей ЕС в Китай без адекватных мер защиты.
Этот штраф стал вторым по величине индивидуальным штрафом по GDPR, уступая только штрафу в €1.2B для Meta в 2023 году, также наложенному Ирландской DPC, за незаконные передачи данных из ЕС в США на серверы Facebook. Эти два случая устанавливают четкий паттерн соблюдения: трансферы данных через границу без адекватных мер защиты являются приоритетной областью соблюдения, и DPC будет налагать штрафы в масштабе, который заставляет менять поведение.
С €5.65B в совокупных штрафах по GDPR до 2025 года (отслеживатель соблюдения GDPR.eu), соблюдение GDPR больше не является риском соблюдения на заднем плане — это активная бизнес-стоимость, которую регулирующие органы активно налагают.
Что на самом деле решило дело TikTok
Дело TikTok не касалось в первую очередь практик безопасности или утечек данных. Оно касалось местоположения данных и правовой основы для международных передач данных.
Операции TikTok в ЕС хранили и обрабатывали данные пользователей ЕС на серверах, доступных для сотрудников в Китае. Статьи 44-46 GDPR ограничивают международные передачи данных в страны без решения о адекватности ЕС, если не предусмотрены конкретные правовые механизмы. У Китая нет решения о адекватности ЕС. Аргумент TikTok о том, что он внедрил адекватные технические меры, не был принят.
Структурный урок: "наши серверы находятся в ЕС" недостаточно, если данные могут быть доступны персоналом за пределами ЕС, или если организация подчиняется законам страны с государственными полномочиями доступа, которые противоречат GDPR.
Это напрямую относится к организациям, оценивающим поставщиков SaaS. Поставщик, который говорит "мы размещаем в ЕС", но чья материнская компания находится в США, или чьи сотрудники поддержки имеют доступ из-за пределов ЕС, могут столкнуться с той же регуляторной проблемой, с которой столкнулся TikTok — и так могут их клиенты.
Совокупная картина: €5.65B в штрафах по GDPR
| Действие по соблюдению | Штраф | Год | Основания |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | Незаконные передачи из ЕС в США |
| TikTok — DPC | €530M | 2025 | Передачи из ЕС в Китай |
| Amazon — CNPD Люксембург | €746M | 2021 | Целевое рекламирование |
| WhatsApp — DPC | €225M | 2021 | Неправильная прозрачность |
| Google — CNIL Франция | €150M | 2022 | Согласие на куки |
Совокупная сумма в €5.65B до 2025 года отражает зрелость соблюдения GDPR: регулирующие органы перешли от установления прецедентов к систематическому соблюдению по категориям нарушений. Нарушения передачи данных теперь являются категорией с самыми высокими штрафами, отражая приоритеты регуляторов.
Проблема здравоохранения в Германии
Статьи 44-46 GDPR применяются ко всем секторам, но некоторые сектора сталкиваются с дополнительными требованиями суверенных данных, выходящими за рамки GDPR.
Здравоохранение в Германии: Социальный кодекс книга V (SGB V) ограничивает обработку данных о здоровье системами, контролируемыми Германией. Немецкая страховая компания, использующая облачный инструмент анонимизации, размещенный в Дублине — который технически является ЕС — может все еще не соответствовать SGB V, если оператор инструмента является негерманским субъектом с потенциальными конфликтами с германским законодательством.
Швейцарское банковское дело: Закон о банковской тайне Швейцарии (Статья 47 Закона о банках) запрещает раскрытие информации о клиентах неуполномоченным лицам, включая облачные сервисы, которые не охвачены явным согласием клиента. Данные клиентов швейцарского частного банка, обрабатываемые через любой облачный инструмент — даже размещенный в ЕС — могут вызвать обязательства по банковской тайне.
Государственный сектор Германии: Руководство BfDI (Федерального комиссара по защите данных) ограничивает данные государственных агентств инфраструктурой, контролируемой государством. Инструмент анонимизации, размещенный на серверах коммерческого облачного провайдера в ЕС, не удовлетворяет этому требованию.
Эти случаи иллюстрируют, что соблюдение GDPR является полом, а не потолком. Для регулируемых отраслей и организаций государственного сектора требования суверенных данных часто накладывают дополнительные ограничения, которые выходят за рамки местоположения размещения.
Ландшафт решений о адекватности
Международная структура передачи GDPR зависит от Европейской комиссии, которая выдает "решения о адекватности" для стран, которые считаются предоставляющими эквивалентную защиту данных. Текущий ландшафт адекватности:
Страны с решениями о адекватности: Андорра, Аргентина, Канада (коммерческие организации), Фарерские острова, Гернси, Израиль, Остров Мэн, Япония, Джерси, Новая Зеландия, Южная Корея, Швейцария, Великобритания, Уругвай, США (Рамки конфиденциальности данных — восстановлены после аннулирования Schrems II)
Страны без адекватности: Китай, Индия, Россия, Бразилия, большая часть Азиатско-Тихоокеанского региона, большая часть Ближнего Востока и Северной Африки, большая часть Африки
Рамки конфиденциальности данных (ЕС-США) были восстановлены после политических переговоров, но они остаются юридически оспариваемыми. Защитники конфиденциальности уже сигнализировали о юридических вызовах на основе аргументов закона о слежке в США, которые аннулировали их предшественников (Safe Harbor в Schrems I, Privacy Shield в Schrems II).
Организации, полагающиеся на Рамки конфиденциальности данных ЕС-США в качестве своей правовой основы для обработки данных, размещенных в США, должны иметь планы на случай еще одного аннулирования.
Как требования суверенитета данных переводятся в выбор инструментов
Совокупная картина из TikTok, Meta и подлежащей регуляторной структуры создает иерархию обеспечения соблюдения для выбора инструментов SaaS:
Уровень 1 — размещение в ЕС: Данные обрабатываются и хранятся на серверах, физически расположенных в ЕС. Это удовлетворяет базовому требованию GDPR для данных, которые не требуют защиты на уровне суверенитета.
Уровень 2 — оператор на базе ЕС: Контролирующий субъект поставщика находится в ЕС и не подчиняется законам страны без адекватности. Это решает проблему TikTok, где размещение в ЕС сочеталось с подверженностью китайскому законодательству для материнского субъекта.
Уровень 3 — архитектура нулевых знаний: Даже если поставщик подвергся атаке, принуждённый правоохранительными органами или обязан предоставить данные иностранным правительством, он не может получить доступ к открытым данным, потому что ключи шифрования хранятся исключительно у клиента. Это решает сценарий, когда даже полностью соответствующий GDPR поставщик получает юридический запрос.
Уровень 4 — локальная обработка: Данные никогда не покидают инфраструктуру самой организации. Обработка происходит на локальном оборудовании или системах, контролируемых государством. Это единственный подход, который полностью удовлетворяет требованиям германского SGB V, швейцарской банковской тайны, требованиям BfDI для государственного сектора и аналогичным суверенным требованиям данных.
Практические последствия для DPIA по GDPR
Оценки воздействия на защиту данных (DPIA), требуемые по статье 35 GDPR для высокорисковой обработки, должны включать оценку воздействия передачи, когда данные передаются третьим странам. После решения по делу TikTok, DPIA для облачных инструментов анонимизации должны явно учитывать:
-
Юрисдикция материнской компании: Подчиняется ли материнская компания поставщика законам (CLOUD Act, закон о кибербезопасности Китая и т.д.), которые могут потребовать предоставления данных клиентов из ЕС?
-
Доступ сотрудников поддержки: Имеют ли сотрудники поддержки или инженерии в странах без адекватности доступ к данным клиентов из ЕС в рамках обычной деятельности?
-
Правовая основа для передач: Какой конкретный механизм статьи 46 GDPR применяется к любым потокам данных в страны без адекватности (SCC, BCR, исключения)?
-
Анализ воздействия утечек: Если поставщик подвергся атаке или принужден предоставить данные, какие данные клиентов из ЕС будут раскрыты?
Для организаций, использующих облачные инструменты анонимизации, эти вопросы имеют конкретные ответы, которые должны быть задокументированы. Решение по делу TikTok продемонстрировало, что "у нас есть контракты" недостаточно, если эти контракты не были должным образом оценены на адекватность.
Что это значит для закупок в 2026 году
После решения по делу TikTok, DPO, рассматривающие поставщиков SaaS для инструментов обработки данных, задают более конкретные вопросы, чем раньше:
- Где находятся серверы? (ЕС?)
- Где зарегистрирована материнская компания? (ЕС? США? Другое?)
- Имеют ли сотрудники за пределами ЕС доступ к данным клиентов из ЕС?
- Какой закон применяется к запросам данных правоохранительных органов?
- Есть ли архитектура нулевых знаний, или поставщик удерживает ключи шифрования?
- Есть ли вариант локальной обработки?
Ответы на эти вопросы — а не наличие подписей DPA — определяют фактическое соблюдение суверенитета данных в пострегуляторной среде после TikTok.
Веб-платформа anonym.legal использует центры обработки данных Hetzner, расположенные в ЕС, с архитектурой нулевых знаний — сервер никогда не получает незашифрованные данные клиентов, и полная компрометация сервера приводит только к получению шифрованного текста AES-256-GCM. Для организаций, требующих только локальной обработки, настольное приложение обрабатывает все данные на устройстве без внешней сетевой связи.
Источники: