Odlocba o TikToku, ki je spremenila podatkovno suverenost
Posodobljeno za leto 2026
Maja 2025 je irska komisija za varstvo podatkov oglobila TikTok z 530 milijoni EUR. Razlog je bil preprost. TikTok je posiljal podatke uporabnikov EU na Kitajsko brez ustreznih zastitnih ukrepov.
To je druga najvecja posamezna kazen GDPR doslej. Vecja je le globa Meta v visini 1,2 milijarde EUR iz leta 2023. Irska DPC jo je prav tako izdala -- za posiljanje zapisov EU na Facebookove americke strezniike.
Oba primera delita jasen vzorec. Cezmejna posredovanja brez ustreznih zastitnih ukrepov privlacijo najvecje globe. Regulatorji bodo nadaljevali, dokler podjetja ne spremenijo.
Skupne globe GDPR so do leta 2025 dosegele 5,65 milijarde EUR. Uveljavljanje ni vec tveganje v ozadju. Je aktivni strosek poslovanja. Oglejte si nas prakticni pregled skladnosti z GDPR.
Kaj je ta primer odlocil
Ta primer ni bil o krsitvi. Slo je za to, kam gredo datoteke uporabnikov in pravno osnovo za njihov prenos cez meje.
TikTok je shranjeval datoteke uporabnikov EU na streznikih. Osebje na Kitajskem je imelo dostop do teh streznikov. Cleni 44-46 GDPR omejujejo prenose v drzave brez odlocitve EU o ustreznosti. Kitajska nima take odlocitve. TikTok je trdil, da ima ustrezne tehnicne ukrepe. Regulatorji so rekli ne.
Pouk je preprost. Gostovanje v EU ni dovolj, ce ima osebje zunaj EU dostop do datotek. Prav tako ni dovolj, ce mora podjetje upostevati zakone drzave, ki ni ustrezna.
To je pomembno pri izbiri ponudnikov SaaS. Ponudnik morda rece: "gostujemo v EU." Toda ce ima njihova maticna druzba sedez drugje, enako tveganje velja. Ce njihovo podporno osebje dostopa do datotek strank EU zunaj EU, enako tveganje velja. Tveganje delijo tudi njihove stranke. Preverite nas kontrolni seznam usklajenosti pred podpisom DPA.
Globe GDPR: 5,65 milijarde EUR in se naprej
| Ukrep uveljavljanja | Globa | Leto | Razlog |
|---|---|---|---|
| Meta (Facebook) -- DPC | 1,2 milijarde EUR | 2023 | Nezakoniti prenosi EU-ZDA |
| TikTok -- DPC | 530 milijonov EUR | 2025 | Prenosi EU-Kitajska |
| Amazon -- CNPD Luksemburg | 746 milijonov EUR | 2021 | Ciljanje oglaševanja |
| WhatsApp -- DPC | 225 milijonov EUR | 2021 | Neustrezna preglednost |
| Google -- CNIL Francija | 150 milijonov EUR | 2022 | Privolitev za piskotke |
Regulatorji so presli od postavljanja pravil k njihovemu uveljavljanju. Krsitve prenosa zdaj privlacijo najvecje globe. Preberite, kako upravljamo varnost in zastitne ukrepe.
Nemcija, Svica in sektorska pravila
Cleni 44-46 GDPR se nanasajo na vse sektorje. Toda nekatere panoge se soocajo z dodatnimi pravili poleg GDPR.
Nemsko zdravstvo: Zakon o socialnem zakoniku V (SGB V) omejuje zdravstvene dokumente na nemsko nadzorovane sisteme. Nemski zavarovalnik morda uporablja orodje za de-identifikacijo v oblaku v Dublinu -- to je EU. Toda morda se krsi SGB V, ce je lastnik orodja nenemsko podjetje.
Svicarska bancnistvo: 47. clen Bancnisnega zakona prepoveduje deljenje dokumentov strank z zunanjimi strankami. To vkljucuje ponudnike v oblaku brez izrecne privolitve stranke. Datoteke strank svicarske banke, ceprav v orodju, gostovanem v EU, morda sprozijo ta zakon.
Nemski javni sektor: Smernice BfDI omejujejo vladne dokumente na vladne sisteme. Orodje za de-identifikacijo na streznikih komercialnih ponudnikov oblaka v EU ne izpolnjuje tega standarda.
Pouk: Usklajenost z GDPR je tla, ne strop. Mnogi sektorji se soocajo s strozjimi pravili. Nas pregled obdelave entitet prikazuje, katera pravila se nanasajo po sektorjih.
Kdo ima odlocitev o ustreznosti?
GDPR drzavam omogoca prosto izmenjavo uporabnisnih informacij, ce Evropska komisija pravi, da zagotavljajo enako zascito. Te drzave so ustrezne:
Andora, Argentina, Kanada (komercialne skupine), Ferski otoki, Guernsey, Izrael, Otok Man, Japonska, Jersey, Nova Zelandija, Juzna Koreja, Svica, Velika Britanija, Urugvaj in ZDA (okvir zasebnosti podatkov).
Te drzave niso ustrezne: Kitajska, Indija, Rusija, Brazilija, vecina Azijsko-pacifiskega obmocja, vecina Bliznjih vzhoda, vecina Afrike.
Okvir zasebnosti podatkov EU-ZDA je znova v veljavi. Toda se vedno je izpodbojan pred sodiscem. Enaki pravni argumenti so unistili Safe Harbor (Schrems I) in Privacy Shield (Schrems II). Podjetja, ki uporabljajo ta okvir, bi morala nacrtovati za naslednjo razveljavitev.
Stiri ravni zascite za izbiro orodja
Primera TikToka in Meta ustvarjata jasno lestvico za ocenjevanje orodij SaaS.
Raven 1 -- Gostovanje v EU: Uporabniske informacije se obdelujejo in shranjujejo na streznikih EU. To izpolnjuje osnovo GDPR za vecino primerov uporabe.
Raven 2 -- Operater s sedezem v EU: Maticna druzba ponudnika je v EU. Ne podlega zakonom neustreznih drzav. To odpravlja problem TikToka. Gostovanje v EU skupaj z izpostavljenostjo kitajskemu pravu za maticno druzbo ni varno.
Raven 3 -- Zasnova brez poznavanja: Ceprav je ponudnik vdrt ali prejme sodno odredbo, ne more brati vasih datotek. Vi imate sifrirne kljuce. Oni imajo le sifrirano besedilo. Preberite o nasem pristopu brez poznavanja.
Raven 4 -- Lokalna obdelava: Vasi dokumenti nikoli ne zapustijo vasih sistemov. Obdelava poteka na lokalni strojni opremi ali z vlado nadzorovanem strojih. To je edini nacin, da v celoti izpolnite nemski SGB V, svicarsko banchno skrivnost in pravila BfDI. Oglejte si nase cenovne nacrtne za moznosti namizne aplikacije.
DPIA po TikToku
Clen 35 GDPR zahteva oceno vpliva na varstvo podatkov za visoko tvegano obdelavo. To se imenuje DPIA. Ko gredo datoteke uporabnikov k procesorjem v tretjih drzavah, potrebujete tudi oceno vpliva na prenos.
Po TikToku morajo DPIA za orodja redakcije v oblaku odgovoriti na stiri vprasanja.
Jurisdikcija maticne druzbe: Ali maticna druzba ponudnika podlega zakonom -- CLOUD Act, kitajski zakon o kibernetski varnosti -- ki bi jo lahko prisilili k predaji datotek uporabnikov EU?
Dostop osebja: Ali osebje v neustreznih drzavah dostopa do datotek uporabnikov EU v normalnem poslovanju?
Pravna osnova: Kateri mehanizem iz clena 46 GDPR pokriva prenose -- SCC, BCR ali izjeme?
Vpliv krsitve: Ce je ponudnik vdrt ali prisiljen predati dokumente, kaj je razkrito?
TikTok je pokazal, da same pogodbe niso dovolj. Oceniti jih morate glede na ustreznost. Dokumentirajte odgovore. Preglejte nase pogosta vprasanja za pogosta vprasanja o DPIA.
Nabavna vprasanja za leto 2026
Pooblascenci za varstvo podatkov zdaj postavljajo zelo specificna vprasanja pri pregledu ponudnikov SaaS za orodja za obdelavo osebnih podatkov.
- Kje se nahajajo strezniki? (EU?)
- Kje ima maticna druzba sedez? (EU? ZDA? Drugje?)
- Ali osebje zunaj EU dostopa do datotek strank EU?
- Kateri zakon ureja sodne odredbe za osebne dokumente?
- Ali ponudnik hrani sifrirne kljuce ali jih hranite vi?
- Ali obstaja moznost lokalne obdelave?
Odgovori na ta vprasanja -- ne le podpisi DPA -- dolocajo dejansko usklajenost s suverenostjo. Preberite, kako je bila anonym.legal grajena, da odgovori na vse od njih, v nasi izjavi ustanovitelja. Prav tako si lahko ogledate nas slovar kljucnih izrazov za hitre definicije SCC, BCR in odlocitev o ustreznosti.
Okolje po TikToku je jasno. Regulatorji pozorno spremljajo cezmejna posredovanja. Globe so visoke. Rasejo. Vasa izbira ponudnika je zdaj regulativna odlocitev. Ni le tehnicna.
anonym.legal uporablja podatkovne centre Hetzner s sedezem v EU z zasnovo brez poznavanja. Streznik nikoli ne vidi vase vsebine v navadnem besedilu. Celotna krsitev streznika prinese le sifrirano besedilo AES-256-GCM. Potrebujete obdelavo samo lokalno? Namizna aplikacija deluje v celoti na vasi napravi brez zunanjih povezav.
Viri
- Irish DPC: TikTok 530M Fine Decision -- VERIFIED-EXTERNAL
- Wire: Digital Sovereignty 2025 -- VERIFIED-EXTERNAL
- GDPR.eu Enforcement Tracker -- VERIFIED-EXTERNAL