Kompliancny paradox
Aktualizovane pre rok 2026
Spolecnosti pouzivaju anonymizacne nastroje, aby splnili poziadavky GDPR. Nastroj ma byt riesenim. Chrania osobne zaznamy podla clanku 32. Ale ak nastroj posiela europske osobne subory na americke servery, vytvara presne to porusenie, ktore mal zastavit.
V auguste 2024 udelil holandsky Urad na ochranu osobnych udajov firme Uber pokutu 290 miliónov eur. Bola to vtedy najvacsie pokuta za nezakonny prenos v EU. Dovod: Uber posielal dokumenty europskych vodicov na americke servery. Mena, subory s polohou, platobne udaje a doklady totoznosti - vsetko preslo cez. Neexistovali spravne zaruky podla clanku 46. Holandsky DPA rozhodol, ze pouzivanie americskych serverov Uberom predstavovalo nepretrzite porusenie GDPR.
Rovnaka logika sa vztahuje na anonymizacne nastroje. US SaaS nastroj, ktory prenasa europske osobne data na americke servery, robia to iste, za co holandsky DPA potrestal Uber. Ucel - anonymizacia verzus riadenie jázd - nemeni pravnu analyzu. Pozrite nasu prehladnu stranku o kompliancii pre zrozumitelne zhrnutie.
DPO si to vsimli
DPO upozornuju na tento problem od rozsudku Schrems II v roku 2020. Ten rozsudok zrusil EU-US Privacy Shield. Stanovil pravidlo, ze americke servery nie su bezpecne pre europske osobne subory, pokial nie su zavedene dalsie zaruky.
Kazdy US nastroj, ktory prenasa europske osobne subory, vyzaduje na spise zakonny zaklad prenosu. Pokuty GDPR dosiahli celkovo 5,65 miliardy eur do roku 2025. Porusenia prenosov v priemere dosahuju 18 miliónov eur za kazdy pripad. Riziko je realne. Uz vygenerovalo vysoke pokuty. Vygeneruje ich aj dalej.
Dve cesty ako vyriesit paradox
Existuju dve skutocne riesenia. Prve: spracovavat dokumenty len na serveroch v EU. Subory nikdy neopustia EU. Druhe: pouzit zero-knowledge dizajn. Ziadny osobny obsah sa na server vobec nedostane.
Hostovanie v EU samo o sebe nemusí postacovat. US firma na europskych serveroch moze byt stale donútena vydát subory. FISA Section 702 a Executive Order 12333 sa vztahuju na US firmy aj ich europske pobocky. Americka materska spolocnost moze byt prinútena poskytnút prístup - dokonca aj k suborom na europskych serveroch.
Zero-knowledge dizajn toto riesí. Ak sa ziadny osobny obsah na server nedostane, poloha servera nie je dolezita. To, co sa na server dostane - zasifrovane tokeny, maskovane hodnoty, transformovany vystup - nie je osobna informacia podla GDPR. Nevztaguju sa nan pravidla prenosu. Precítajte si o nasej zero-knowledge architekture a pozrite cenove plany vrátane localnej Desktop App.
anonym.legal pouziva zero-knowledge dizajn. Server nikdy nevidí obsah v cistom texte. Uplné prelomenie servera poskytne len sifrovany text AES-256-GCM. Desktop App bezí len na vasej lokalnej stanici - bez externych pripojení.
Zdroje
- Holandsky DPA august 2024: pokuta 290 miliónov eur pre Uber - OVERENE-EXTERNE
- DLA Piper 2025 GDPR Fines Survey: porusenia prenosov v priemere 18 miliónov eur za pripad - OVERENE-EXTERNE
- GDPR.eu: Kumulativne pokuty GDPR do roku 2025 - 5,65 miliard eur - OVERENE-EXTERNE