Rozhodnutie o TikToku, ktoré zmenilo suverenitu dát
Aktualizované pre rok 2026
V máji 2025 pokutovala írska Komisia pre ochranu údajov TikTok sumou 530 miliónov eur. Dôvod bol jednoduchý. TikTok posielal informácie o používateľoch EÚ do Číny bez primeraných záruk.
Ide o druhú najvyššiu jednorázovú pokutu GDPR v histórii. Väčšia je len pokuta 1,2 miliardy eur pre Meta z roku 2023. Vydala ju tiež írska DPC — za posielanie záznamov EÚ na servery Facebooku v USA.
Oba prípady zdieľajú jasný vzorec. Cezhraničné prevody bez primeraných záruk priťahujú najvyššie pokuty. Regulátori budú pokračovať, kým firmy nezmenia správanie.
Celkové pokuty GDPR dosiahli 5,65 miliardy eur do roku 2025. Vynucovanie nie je pozadie rizika. Je to aktívny náklad podnikania. Praktický prehľad nájdete v príručke o súlade s GDPR.
Čo prípad TikToku rozhodol
Tento prípad sa netýkal úniku dát. Týkal sa toho, kam idú súbory používateľov a na akom právnom základe sa presúvajú cez hranice.
TikTok ukladal súbory používateľov EÚ na serveroch. Zamestnanci v Číne mohli pristupovať k týmto serverom. Články 44 – 46 GDPR obmedzujú prevody do krajín bez rozhodnutia o primeranosti EÚ. Čína takéto rozhodnutie nemá. TikTok tvrdil, že má primerané technické opatrenia. Regulátori povedali nie.
Ponaučenie je jednoduché. Hosting v EÚ nestačí, ak zamestnanci mimo EÚ môžu pristupovať k súborom. Nestačí ani vtedy, ak spoločnosť musí dodržiavať zákony krajiny bez primeranosti.
To je dôležité pri výbere dodávateľov SaaS. Dodávateľ môže povedať "hostujeme v EÚ". Ale ak je ich materská firma inde, platí rovnaké riziko. Ak ich podpora pristupuje k súborom používateľov mimo EÚ, platí rovnaké riziko. Ich zákazníci toto riziko zdieľajú tiež. Pred podpisom DPA si pozrite náš kontrolný zoznam súladu.
Pokuty GDPR: 5,65 miliardy eur a ďalej
| Opatrenie vynucovania | Pokuta | Rok | Dôvody |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 mld. eur | 2023 | Nelegálne prevody EÚ-USA |
| TikTok — DPC | 530 mil. eur | 2025 | Prevody EÚ-Čína |
| Amazon — CNPD Luxembursko | 746 mil. eur | 2021 | Cielenie reklamy |
| WhatsApp — DPC | 225 mil. eur | 2021 | Zlyhania transparentnosti |
| Google — CNIL Francúzsko | 150 mil. eur | 2022 | Súhlas so súbormi cookie |
Regulátori sa presunuli od stanovovania pravidiel k ich vynucovaniu. Porušenia prevodu teraz priťahujú najvyššie pokuty. Zistite, ako spracúvame bezpečnosť a záruky.
Nemecko, Švajčiarsko a odvetvové pravidlá
Články 44 – 46 GDPR sa vzťahujú na všetky odvetvia. Niektoré odvetvia však čelia ďalším pravidlám nad rámec GDPR.
Nemecké zdravotníctvo: Piata kniha Sociálneho zákonníka (SGB V) obmedzuje zdravotné dokumenty na systémy kontrolované Nemcami. Nemecký poisťovateľ môže používať cloudový nástroj de-identifikácie v Dubline — to je EÚ. Ale môže stále porušovať SGB V, ak vlastník nástroja nie je nemecká firma.
Švajčiarske bankovníctvo: Článok 47 Bankového zákona zakazuje zdieľanie klientskych dokumentov s externými stranami. To zahŕňa poskytovateľov cloudu bez výslovného súhlasu klienta. Klientske súbory švajčiarskej banky, dokonca v nástroji hostovanom v EÚ, môžu spustiť tento zákon.
Nemecký verejný sektor: Usmernenie BfDI obmedzuje vládne dokumenty na vládou riadené systémy. Nástroj de-identifikácie na komerčnom cloude v rámci serverov EÚ nespĺňa tento štandard.
Ponaučenie: súlad s GDPR je podlaha, nie strop. Mnohé odvetvia čelia prísnejším pravidlám. Náš prehľad spracovania entít mapuje, ktoré pravidlá sa vzťahujú na každé odvetvie.
Kto má rozhodnutie o primeranosti?
GDPR umožňuje krajinám voľne vymieňať informácie o používateľoch, ak Európska komisia uzná, že poskytujú rovnakú ochranu. Tieto krajiny sa kvalifikujú:
Andorra, Argentína, Kanada (obchodné skupiny), Faerské ostrovy, Guernsey, Izrael, ostrov Man, Japonsko, Jersey, Nový Zéland, Južná Kórea, Švajčiarsko, UK, Uruguaj a USA (Rámec ochrany údajov).
Tieto krajiny sa nekvalifikujú: Čína, India, Rusko, Brazília, väčšina Ázie a Tichomoria, väčšina Blízkeho východu, väčšina Afriky.
Rámec ochrany dát EÚ-USA je opäť platný. Ale stále je súdne napádaný. Rovnaké právne argumenty zrušili Safe Harbor (Schrems I) a Privacy Shield (Schrems II). Spoločnosti používajúce tento rámec by mali plánovať ďalšie zrušenie.
Štyri úrovne ochrany pri výbere nástroja
Prípady TikTok a Meta vytvárajú jasné poradie pri hodnotení nástrojov SaaS.
Úroveň 1 — Hosting v EÚ: Informácie o používateľoch sú spracúvané a ukladané na serveroch EÚ. To spĺňa základný štandard GDPR pre väčšinu prípadov použitia.
Úroveň 2 — Prevádzkovateľ so sídlom v EÚ: Materská firma dodávateľa má sídlo v EÚ. Nepodlieha zákonom krajiny bez primeranosti. To rieši problém TikToku. Hosting v EÚ v kombinácii s expozíciou čínskemu právu pre materskú firmu nie je bezpečný.
Úroveň 3 — Dizajn s nulovými znalosťami: Aj keď je dodávateľ napadnutý alebo dostane súdny príkaz, nemôžu čítať vaše súbory. Vy držíte šifrovacie kľúče. Oni držia len šifrovaný text. Prečítajte si o prístupe s nulovými znalosťami.
Úroveň 4 — Lokálne spracovanie: Vaše dokumenty nikdy neopustia vaše vlastné systémy. Spracovanie prebieha na lokálnom hardvéri alebo vládou kontrolovaných strojoch. Toto je jediný spôsob, ako plne splniť nemecké SGB V, bankové tajomstvo Švajčiarska a pravidlá BfDI. Pozrite si cenové plány pre možnosti Desktop App.
DPIA po TikToku
Článok 35 GDPR vyžaduje posúdenie vplyvu na ochranu údajov pre vysoko rizikové spracovanie. Toto sa nazýva DPIA. Keď súbory používateľov idú k procesorom tretích krajín, potrebujete aj posúdenie vplyvu na prevod.
Po TikToku musia DPIA pre cloudové nástroje redakcie odpovedať na štyri otázky.
Jurisdikcia materskej firmy: Podlieha materská firma dodávateľa zákonom — CLOUD Act, čínsky zákon o kybernetickej bezpečnosti — ktoré by ju mohli prinútiť odovzdať súbory používateľov EÚ?
Prístup zamestnancov: Pristupujú zamestnanci v krajinách bez primeranosti k súborom používateľov EÚ v rámci bežných operácií?
Právny základ: Aký mechanizmus podľa článku 46 GDPR pokrýva akékoľvek prevody — štandardné zmluvné klauzuly, záväzné podnikové pravidlá alebo výnimky?
Vplyv úniku: Ak je dodávateľ napadnutý alebo prinútený odovzdať dokumenty, čo bude odhalené?
TikTok ukázal, že zmluvy samé nestačia. Musíte ich posúdiť z hľadiska primeranosti. Zdokumentujte vaše odpovede. Prehliadajte náš FAQ pre bežné otázky o DPIA.
Otázky obstarávania v roku 2026
DPO teraz kladú veľmi konkrétne otázky pri posudzovaní dodávateľov SaaS pre nástroje spracovania osobných informácií.
- Kde sú servery umiestnené? (EÚ?)
- Kde má materská spoločnosť sídlo? (EÚ? USA? Iné?)
- Pristupujú zamestnanci mimo EÚ k súborom zákazníkov EÚ?
- Ktorý zákon sa vzťahuje na súdne príkazy pre osobné dokumenty?
- Drží šifrovacie kľúče dodávateľ, alebo vy?
- Existuje možnosť lokálneho spracovania?
Odpovede na tieto otázky — nie len podpisy DPA — určujú skutočné zosúladenie suverenity. Zistite, ako bol anonym.legal postavený na zodpovedanie všetkých z nich na stránke vyhlásenia zakladateľa. Môžete tiež prehliadať náš slovník kľúčových pojmov pre rýchle definície štandardných zmluvných klauzúl, záväzných podnikových pravidiel a rozhodnutí o primeranosti.
Prostredie po TikToku je jasné. Regulátori pozorne sledujú cezhraničné prevody. Pokuty sú veľké. Rastú. Váš výber dodávateľa je teraz regulačné rozhodnutie. Nie len technické.
anonym.legal používa dátové centrá Hetzner so sídlom v EÚ s dizajnom s nulovými znalosťami. Server nikdy nevidí váš obsah v čistom texte. Úplný únik servera prinesie len šifrovaný text AES-256-GCM. Potrebujete spracovanie iba lokálne? Desktop App beží úplne na vašom zariadení bez externých pripojení.