TikTok одлука која је редефинисала суверенитет podataka
У мају 2025, ирска комисија за заштиту podataka издала је €530M GDPR казну против TikTok-а због преноса ЕУ корисничких podataka у Кину без адекватних гарантија.
Казна је сада друго највећа индивидуална GDPR казна икад издата, иза само €1.2B Meta казне из 2023, такође издате од ирске ДПЦ, за незаконите преносе ЕУ-САД у Facebook-ове САД серверe. Заједно, та два случаја успостављају јасан образац намирења: преносе podataka преко граница без адекватних гарантија су приоритетна область намирења, а ДПЦ ће наметнути казне на нивоу који приморава промену понашања.
Са €5.65B у кумулативним GDPR казнама кроз 2025 (GDPR.eu enforcement tracker), GDPR намирење је више него позадински ризик поврхедности — то је активни пословни трошак који регулатори активно намећу.
Шта је заиста одлучило у TikTok случају
TikTok случај није био примарно о безбедносним праксама или прецама podataka. Био је о lokaciji podataka и о правној основи за међународне переносе podataka.
TikTok-ове ЕУ операције су складиштиле и обработиле ЕУ корисничке podatake на серверима до којих су имали приступ запослени у Кини. GDPR чланови 44-46 ограничавају међународне переносе podataka у земље без GDPR одлуке о адекватности осим ако одређени правни механизми нису на месту. Кина нема GDPR одлуку о адекватности. TikTok-ов аргумент да је имплементирао адекватне техничке мере није прихваћен.
Структурна лекција: "наши серверl су у ЕУ" није довољно ако су podaci приступни особљу изван ЕУ, или ако је организација подложна законима земље са могућностима државног приступа која конфликтирају са GDPR.
Ово је директно релевантно за организације које процењују SaaS добављаче. Добављач који каже "хостујемо у ЕУ" али чија је матична компанија америчка, или чији подршка особље имају приступ изван ЕУ, могу суочити исто регулаторно изазове које је TikTok суочена — и могу своја klinta.
Слика на нивоу: €5.65B у GDPR казнама
| Намирење | Казна | Година | Разлог |
|---|---|---|---|
| Meta (Facebook) — ДПЦ | €1.2B | 2023 | Незаконити ЕУ-САД преносе |
| TikTok — ДПЦ | €530M | 2025 | ЕУ-Кина преносе |
| Amazon — ЦНПД Луксембург | €746M | 2021 | Циљање у рекламирању |
| WhatsApp — ДПЦ | €225M | 2021 | Неквалификована откривања |
| Google — ЦНИЛ Француска | €150M | 2022 | Сагласност колачима |
Кумулативно €5.65B кроз 2025 одражава созревање GDPR намирења: регулатори су се преместили са успостављања преседана на систематско намирење преко категорија повреде. Преносе podataka су сада највиша казна категорија, што одражава регулаторне приоритете.
Проблем Германског здравствене заштите
GDPR чланови 44-46 се примењују подједнако преко свих сектора, али одређени сектори суочавају додатне захтеве суверених podataka изван GDPR.
Германска здравствена заштита: Закон о социјалном кодексу V (SGB V) ограничава обработу здравствених podataka на Германски контролисане системе. Германски здравствени осигурач користећи облачни алат за анонимизирање датирачен у Дублин — техничке европски — можда и даље није у складности са SGB V ако је оператор алата не-Германски антитез са потенцијалним Германским конфликтима.
Швајцарско банкарство: Швајцарски банкарски поверљивост закон (члан 47 Закона о банкарству) забрањује откривање информација клијента неовлашћеним странама, укључујући обезбеђиваче облачних услуга није покривено експлицитном клијентском сагласношћу. Швајцарска приватна банка клијентских podataka обработљена кроз било който облачни алат — чак и ЕУ-хостован — може разбудити швајцарске поверљивости обавезе.
Германски јавни сектор: BfDI (Федеран комесар за заштиту podataka) водство ограничава податке владе на држави-контролисану инфраструктуру. Алат за анонимизирање хостован на комерцијалном облачном добављачу ЕУ серверима не задовољава овај захтев.
Ови случајеви илуструју да је GDPR склад раницу, а не плафон. За регулисане индустрије и јавни сектор организације, захтеви суверена podataka често намећу додатна ограничења која излазе изван захтева хостовања локације.
Ландшафт адекватност одлуке
GDPR међународни пренос оквира зависи од Европске комисије издајући "одлуке о адекватности" за земље која задовољава еквивалентну заштиту podataka. Садашњи пејзаж адекватности:
Земље са одлукама о адекватности: Андора, Аргентина, Канада (комерцијалне организације), Острва Фарар, Гернси, Израел, Острво Man, Јапан, Џерси, Нови Зеланд, Јужна Кореја, Швајцарска, Велика Британија, Уругвај, САД (Data Privacy Framework — поново установљене после Schrems II неважећи)
Земље без адекватности: Кина, Индија, Русија, Бразил, већина APAC, већина MENA, већина Африке
Data Privacy Framework (ЕУ-САД) је поново установљена после политичких преговора, али остаје правно оспоравана. Адвокати приватности су већ сигнализирали правне изазове на основу аргумената о САД законима о надзору која су неважећи претходници (Safe Harbor у Schrems I, Privacy Shield у Schrems II).
Организације ослањајуће се на Data Privacy Framework ЕУ-САД као правну основу за обработу podataka хостоване САД требало би да имају планове за случај другог неважеће.
Како захтеви суверена podataka превођење на избор алата
Кумулативна слика из TikTok, Meta и основног регулаторног оквира ствара хијерархију складности уверења за избор алата SaaS:
Ниво 1 — ЕУ хостовање: Podaci се обрађују и складиште на серверима физички лоцирани у ЕУ. Ово задовољава базни захтев GDPR за podatake који не захтевају заштиту суверене нивои.
Ниво 2 — Оператор заснован на ЕУ: Контролирани антитез добављача је заснован на ЕУ и није подложан законима земље без адекватности. Ово адресира TikTok проблем где је ЕУ хостовање је спарено са изложеношћу Кинског закона за мајску антитез.
Ниво 3 — Zero-knowledge архитектура: Чак и ако је добављач разбарен, принуђен правоохранитеља, или требао је да произведе podatake од страних влада, не могу приступити обичном тексту podataka јер су кључеви енкрипције держани искључиво од клијента. Ово адресира сценарио где чак и потпуно GDPR-у компатибилан добављач прима правни захтев.
Ниво 4 — Локална обработка: Podaci никад не напусти организацијске властите инфраструктуре уопште. Обработка се јавља на локалном хардвер или управљаним системима владе. Ово је једини приступ који потпуно задовољава Германски SGB V, швајцарску банкарску поверљивост, BfDI захтеве јавног сектора и сличне захтеве суверена podataka.
Практична последица за GDPR DPIAs
Оцене утицаја заштите podataka (DPIAs) захтеване под GDPR чланом 35 за обработу високог ризика морају укључити утицај преноса када се podaci деле са третирачима трећег земље. Следећи TikTok одлуку, DPIAs за облачне алате за анонимизирање требало би да експлицитно адресирају:
-
Јурисдикција матичне компаније: Да ли је матична компанија добављача предложена законима (CLOUD Act, Кински закон о кибернетској безбедности, итд.) која би могла захтевати производњу ЕУ клијентских podataka?
-
Приступ подршке особља: Да ли подршка или инженерски особље у земљама без адекватности имају приступ ЕУ клијентским podacima као део нормалних операција?
-
Правна основа за преносе: Какво специфично GDPR чланова 46 механизам се примењује на било које потока podataka на земље без адекватности (SCCs, BCRs, дерогације)?
-
Анализа утицаја повреде: Ако је добављач разбарена или приморана да произведе podatake, какви би ЕУ клијентски podaci били изложени?
За организације користећи облачне алате за анонимизирање, та питања имају конкретне одговоре која морају бити документована. TikTok одлука демонстрирала је да је "имамо уговоре на месту" није довољно ако та уговоре нису била правилно процењена за адекватност.
Шта ово значи за 2026 набавка
След TikTok одлуке, DPO-и прегледајући SaaS добављаче за алате обработе podataka су постављајући специфичнија питања него раније:
- Где су серверї? (ЕУ?)
- Где је матична компанија укупљена? (ЕУ? САД? Други?)
- Да ли не-ЕУ запослени имају приступ ЕУ клијентским podacima?
- Какви закон се примењује на правоохранитеље захтева podataka?
- Да ли је zero-knowledge архитектура, или добављач држи кључеве енкрипције?
- Да ли је локална опција обработе?
Одговори на та питања — не присуство DPA потписа — одређују стварне суверене skladnosti podataka у пост-TikTok регулаторном окружењу.
Веб платформа anonym.legal користи ЕУ-базиране Hetzner податке центара са zero-knowledge архитектуром — сервер никад не прима неенкриптоване клијентске podatake, и потпуни сервер компромис приноси само AES-256-GCM шифарски текст. За организације захтевајући локално-само обработу, Desktop App обрађује sve podatake на уређају са нема екстерног мрежног комуникација.
Извори: