anonym.legal

By · Last updated 2026-03-06

Povratak na blogGDPR i usklađenost

Kazna TikToku od 530 miliona evra: GDPR i podatkovna suverenost

Kazna TikToku od 530 miliona evra zbog GDPR prekršaja za prenos podataka EU u Kinu označava novu eru primene propisa o podatkovnoj suverenosti. Sa 5,65 milijardi evra ukupnih GDPR kazni, izbor dobavljača je sada regulatorna odluka.

March 6, 20269 min čitanja
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

TikTok presuda koja je promenila podatkovnu suverenost

Ažurirano za 2026.

U maju 2025, irska Komisija za zaštitu podataka kaznila je TikTok sa 530 miliona evra. Razlog je bio jednostavan. TikTok je prenosio informacije EU korisnika u Kinu bez odgovarajućih zaštitnih mera.

Ovo je druga najveća pojedinačna GDPR kazna ikada. Samo kazna od 1,2 milijarde evra Meti iz 2023. je veća. Irska DPC je i tu izrekla — za prenos EU zapisa na Facebook-ove servere u SAD.

Oba slučaja dele jasan obrazac. Prekogranični prenosi bez odgovarajućih zaštitnih mera privlače najveće kazne. Regulatori će nastaviti sa pritiskom dok kompanije ne promene ponašanje.

Ukupne GDPR kazne dostigle su 5,65 milijardi evra do 2025. Sprovođenje propisa više nije pozadinski rizik. To je aktivni trošak poslovanja. Pogledajte naš GDPR vodič za usklađenost za praktičan pregled.

Šta je ovaj slučaj utvrdio

Ovaj slučaj nije bio o povredi podataka. Reč je o tome gde korisničke datoteke idu i koji je pravni osnov za njihov prekogranični prenos.

TikTok je čuvao EU korisničke datoteke na serverima. Osoblje u Kini moglo je da pristupi tim serverima. GDPR Članci 44–46 ograničavaju prenose u zemlje bez EU odluke o adekvatnoj zaštiti. Kina nema takvu odluku. TikTok je tvrdio da ima adekvatne tehničke mere. Regulatori su odbili tu tvrdnju.

Lekcija je jednostavna. Hosting u EU nije dovoljan ako osoblje van EU može da pristupi datotekama. Takođe nije dovoljan ako je kompanija obavezna da poštuje zakone iz neadekvatne zemlje.

Ovo je važno kada birate SaaS dobavljače. Dobavljač može reći „hostujemo u EU". Ali ako im je matična kompanija na drugom mestu, isti rizik se primenjuje. Ako njihovo osoblje za podršku pristupa korisničkim datotekama van EU, isti rizik se primenjuje. I njihovi klijenti dele taj rizik. Proverite naš kontrolni spisak za usklađenost pre potpisivanja DPA.

GDPR kazne: 5,65 milijardi evra i dalje raste

Mera sprovođenjaKaznaGodinaOsnov
Meta (Facebook) — DPC1,2 mlrd. €2023Nezakoniti EU-US prenosi
TikTok — DPC530 mil. €2025EU-Kina prenosi
Amazon — CNPD Luksemburg746 mil. €2021Ciljanje oglašavanjem
WhatsApp — DPC225 mil. €2021Propusti u transparentnosti
Google — CNIL Francuska150 mil. €2022Saglasnost za kolačiće

Regulatori su prešli sa postavljanja pravila na njihovu primenu. Prekršaji u prenosima sada privlače najveće kazne. Saznajte kako mi postupamo sa bezbednošću i zaštitnim merama.

Nemačka, Švajcarska i sektorska pravila

GDPR Članci 44–46 primenjuju se na sve sektore. Ali neke industrije suočavaju se sa dodatnim pravilima pored GDPR-a.

Nemačko zdravstvo: Zakon o socijalnom osiguranju (SGB V) ograničava zdravstvene dokumente na sisteme pod nemačkom kontrolom. Nemački osiguravač može koristiti oblačni alat za de-identifikaciju u Dablinu — to je EU. Ali može i dalje prekršiti SGB V ako je vlasnik alata firma koja nije nemačka.

Švajcarsko bankarstvo: Član 47 Zakona o bankama zabranjuje deljenje klijentskih dokumenata sa eksternim stranama. To uključuje provajdere u oblaku bez eksplicitne saglasnosti klijenta. Klijentske datoteke švajcarske banke, čak i u alatu koji se hostuje u EU, mogu pokrenuti ovaj zakon.

Nemački javni sektor: Smernice BfDI ograničavaju vladine dokumente na sisteme kojima upravlja vlada. Alat za de-identifikaciju na komercijalnim EU serverima provajdera u oblaku ne ispunjava ovaj standard.

Lekcija: GDPR usklađenost je minimum, ne plafon. Mnogi sektori suočavaju se sa strožijim pravilima. Naš pregled obrade entiteta mapira koja pravila se primenjuju po sektoru.

Ko ima odluku o adekvatnoj zaštiti?

GDPR dopušta zemljama da slobodno razmenjuju korisničke informacije ako Evropska komisija kaže da pružaju jednaku zaštitu. Ove zemlje ispunjavaju uslove:

Andora, Argentina, Kanada (komercijalne grupe), Farska Ostrva, Gernzi, Izrael, Ostrvo Man, Japan, Džerzi, Novi Zeland, Južna Koreja, Švajcarska, Velika Britanija, Urugvaj i SAD (Okvir privatnosti podataka).

Ove zemlje ne ispunjavaju uslove: Kina, Indija, Rusija, Brazil, većina Azijsko-Pacifičke regije, većina Bliskog istoka, većina Afrike.

EU-US Okvir privatnosti podataka ponovo je na snazi. Ali i dalje je osporen na sudu. Isti pravni argumenti uklonili su Safe Harbor (Schrems I) i Privacy Shield (Schrems II). Kompanije koje koriste ovaj okvir trebalo bi da planiraju za još jedno poništavanje.

Četiri nivoa zaštite za izbor alata

Slučajevi TikToka i Mete stvaraju jasnu ranglistu za procenu SaaS alata.

Nivo 1 — EU hosting: Korisničke informacije se obrađuju i čuvaju na EU serverima. Ovo ispunjava GDPR osnov za većinu slučajeva upotrebe.

Nivo 2 — EU-bazirani operater: Matična kompanija dobavljača je u EU. Nije predmet zakona neadekvatnih zemalja. Ovo rešava TikTok problem. EU hosting u kombinaciji sa izloženošću kineskim zakonima za matičnu kompaniju nije bezbedno.

Nivo 3 — Dizajn nultog znanja: Čak i ako je dobavljač hakovan ili dobije sudski nalog, ne može da čita vaše datoteke. Vi imate ključeve za šifrovanje. Oni imaju samo šifrovani tekst. Pročitajte o našem pristupu nultog znanja.

Nivo 4 — Lokalna obrada: Vaši dokumenti nikada ne napuštaju vaše sopstvene sisteme. Obrada se odvija na lokalnom hardveru ili sistemima koje kontroliše vlada. Ovo je jedini način da se u potpunosti ispune nemački SGB V, švajcarska bankarska tajnost i BfDI pravila. Pogledajte naše planove cena za opcije Desktop App-a.

DPIA procenjivanja posle TikToka

GDPR Član 35 zahteva Procenu uticaja na zaštitu podataka za obradu visokog rizika. Ovo se naziva DPIA. Kada korisničke datoteke idu do procesora iz trećih zemalja, potrebna je i procena uticaja na prenos.

Nakon TikToka, DPIA za oblačne alate za redakciju moraju odgovoriti na četiri pitanja.

Nadležnost matične kompanije: Da li je matična kompanija dobavljača predmet zakona — CLOUD Act, kineski zakon o kiberbezbednosti — koji bi ih mogli prisiliti da predaju EU korisničke datoteke?

Pristup osoblja: Da li osoblje u neadekvatnim zemljama pristupa EU korisničkim datotekama u normalnom poslovanju?

Pravni osnov: Koji mehanizam GDPR Člana 46 pokriva sve prenose — SCC, BCR ili derogacije?

Uticaj povrede: Ako je dobavljač hakovan ili primoran da preda dokumente, šta bi bilo izloženo?

TikTok je pokazao da ugovori sami po sebi nisu dovoljni. Morate ih proceniti na adekvatnost. Dokumentujte svoje odgovore. Pregledajte naš FAQ za uobičajena DPIA pitanja.

Pitanja za nabavku u 2026.

Službenici za zaštitu podataka sada postavljaju veoma specifična pitanja kada pregledaju SaaS dobavljače za alate za obradu ličnih informacija.

  • Gde se nalaze serveri? (EU?)
  • Gde je matična kompanija? (EU? SAD? Drugo?)
  • Da li osoblje van EU pristupa EU korisničkim datotekama?
  • Koji zakon reguliše sudske naloge za lične dokumente?
  • Da li dobavljač ima ključeve za šifrovanje, ili ih vi imate?
  • Da li postoji opcija lokalne obrade?

Odgovori na ova pitanja — a ne samo potpisivanje DPA — određuju stvarnu usklađenost sa podatkovnom suverenosti. Saznajte kako je anonym.legal izgrađen da odgovori na sva ova pitanja u našoj izjavi osnivača. Možete takođe pregledati naš rečnik ključnih pojmova za brze definicije SCC, BCR i odluka o adekvatnoj zaštiti.

Post-TikTok okruženje je jasno. Regulatori pažljivo prate prekogranične prenose. Kazne su visoke. Rastu. Vaš izbor dobavljača sada je regulatorna odluka. Nije samo tehnička.

anonym.legal koristi EU-bazirane Hetzner centre podataka sa dizajnom nultog znanja. Server nikada ne vidi vaš sadržaj u obliku čistog teksta. Potpuna povreda servera daje samo AES-256-GCM šifrovani tekst. Potrebna vam je lokalna obrada? Desktop App radi u potpunosti na vašem uređaju bez eksternih veza.

Izvori

Povezani članci

GDPR i usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.