4,7 mrd EUR: Americka podjetja placajo 83 % kazni GDPR
Vrzel v kaznih
Od leta 2018 so regulatorji EU izdali vec kot 6,2 milijarde EUR kazni GDPR. Razdelitev je ocitna. 4,7 milijarde EUR -- 83 % -- je slo americkim podjetjem.
Osem od desetih najvecjih kazni je zadelo americka tehnolska podjetja.
Deset najvecjih kazni GDPR
| Uvrstitev | Podjetje | Kazen | Razlog | Leto |
|---|---|---|---|---|
| 1 | Meta (Irska) | 1,2 mrd EUR | Prenosi EU-US | 2023 |
| 2 | Amazon (Luksemburg) | 746 mio EUR | Ciljno oglasevanje | 2021 |
| 3 | TikTok (Irska) | 530 mio EUR | Prenosi na Kitajsko | 2025 |
| 4 | Instagram (Irska) | 405 mio EUR | Zapisi otrok | 2022 |
| 5 | Meta (Irska) | 390 mio EUR | Pravna podlaga za oglase | 2023 |
| 6 | TikTok (Irska) | 345 mio EUR | Zasebnost otrok | 2023 |
| 7 | LinkedIn (Irska) | 310 mio EUR | Vedenjska analiza | 2024 |
| 8 | Uber (Nizozemska) | 290 mio EUR | Zapisi voznikov v ZDA | 2024 |
| 9 | Meta (Irska) | 265 mio EUR | Strganje podatkov | 2022 |
| 10 | WhatsApp (Irska) | 225 mio EUR | Preglednost | 2021 |
Najvecje kazni imajo skupen vzrok: cezmejna prenosenja. Meta sama -- vkljucno z Instagramom in WhatsAppom -- je odgovorna za 2,4 milijarde EUR.
Zakaj prenosi v ZDA ne ustrezajo GDPR
Sodba Schrems II
Julija 2020 je sodisce EU razveljavilo Privacy Shield. Americke vohunske zakonodaje so v nasprotju z evropskimi pravicami do zasebnosti. Ta sodba je znana kot Schrems II.
Ima tri glavne ucinke:
- Standardne pogodbene klavzule same po sebi ne zadostujejo
- Podjetja morajo preveriti, ali americka zakonodaja zagotavlja ustrezno zascito
- Vecina prenosov zahteva dodatne tehnicne ukrepe
Vprasanje zakona CLOUD Act
Americka zakonodaja lahko prisili americka podjetja, da izrocijo shranjene datoteke. To velja tudi, ko datoteke lezijo na streznikih EU. Zakon CLOUD Act americkim agencijam omogoca zahtevo po vsebini od americkih podjetij -- kjerkoli na svetu.
To je osrednja tezava americkih ponudnikov oblaka v EU.
Dve prelomni kazni
Kazen 1,2 milijarde EUR za Meta (2023)
Irski DPC je ugotovil, da je Meta posiljala zapise uporabnikov EU v ZDA brez veljavne pravne podlage. Meta je morala ustaviti vse prenose EU-US v petih mesecih. To je bila najvecja kazen GDPR v zgodovini.
Kazen 290 milijonov EUR za Uber (2024)
Nizozemski regulatorji so kaznovali Uber za premikanje zapisov voznikov v ZDA. Uber je uporabil standardne pogodbene klavzule. Toda manjkali so mu dodatni varovalni ukrepi, ki jih Schrems II zdaj zahteva.
Kaj preverjajo regulatorji
Izvajalci zdaj gledajo na tri stvari:
- Ali je prenos res potreben?
- Ali so dodatni varovalni ukrepi vzpostavljeni?
- Ali zakonodaja ciljne drzave zagotavlja ustrezno zascito?
Resitev: Suverenost podatkov EU
Najvarsnejsa pot je hraniti osebne zapise znotraj EU. To odrezuje cezmejna tveganja pri korenu.
Infrastruktura anonym.legal
| Funkcija | Podrobnosti |
|---|---|
| Gostovanje | Hetzner, Nemcija (ISO 27001) |
| Oblak | Brez AWS, Azure ali GCP |
| Obdelava | 100 % strezniki EU |
| Subjekt | Nemska pravna oseba |
| CLOUD Act | Se ne uporablja -- brez americke matice |
Zasnova brez znanja
Nasa zasnova brez znanja dodaja drugo plast zascite:
- Gesla nikoli ne zapustijo vase naprave
- Kljuci ostanejo na strani odjemalca
- Vase vsebine ne moremo brati niti na podlagi sodne odlocbe
- V nasem skladu ne obstaja nobena zadnja vrata
Oglejte si nas pregled varnostne skladnosti za celotne tehnicne kontrole.
Koraki za americka podjetja
1. Zmanjsajte, kar prehaja meje
Anonimizirajte osebne identifikatorje pred katerim koli prenosom. Posiljajte le to, kar je res potrebno.
2. Uporabite ponudnike EU
Za zapise uporabnikov EU izberite storitve s sedezem v EU, kjer je to mogoce. Nas vodnik za skladnost z GDPR zajema, kako izbirati dobavitelje.
3. Dodajte dodatne varovalne ukrepe
Ce morajo prenosi potekati, uporabite sifriranje in tokenizacijo. Ti blokirajo dostop americkim agencijam tudi pri prisili.
4. Izvedite oceno vpliva prenosa
Pripravite pregled, ali zakonodaja ciljne drzave ztciti zapise EU. DPA-ji to zdaj pricakujejo kot standardni korak.
Kako pomaga anonym.legal
Pred prenosom: Zamenjajte osebne identifikatorje z zetoni. Posljite tokenizirano obliko. Hranite prave vrednosti v EU.
Za skladnost: Nemsko gostovanje, zasnova brez znanja, polne revizijske sledi in privzeta skladnost z GDPR.
Cene: Brezplacen nacrt: 200 zetonov na mesec. Osnovni: 3 EUR/mesec. Poslovni: 29 EUR/mesec.
Zacnite zascitevati zapise EU ze danes. Zacnite brezplacno preskusanje.