anonym.legal

By · Last updated 2026-03-06

Bumalik sa BlogGDPR & Pagsunod

Multa sa TikTok na €530M: Soberanya ng Data sa ilalim ng GDPR

Ang €530M na multa ng GDPR sa TikTok para sa mga paglilipat ng data sa pagitan ng EU at China ay nagmamarka ng bagong panahon ng pagpapatupad ng soberanya ng data. Sa €5.65 bilyong kabuuang multa ang GDPR hanggang 2025.

March 6, 20269 min basahin
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

Ang Desisyon ng TikTok na Nagbago ng Soberanya ng Data

Na-update para sa 2026

Noong Mayo 2025, pinarusahan ng Data Protection Commission ng Ireland ang TikTok ng €530 milyon. Simple ang dahilan. Nagpadala ang TikTok ng impormasyon ng mga EU user sa China nang walang wastong mga pananggalang.

Ito ang pangalawang pinakamalaking solong parusa ng GDPR kailanman. Ang €1.2 bilyong multa ng Meta mula 2023 lamang ang mas malaki. Inilabas din ito ng DPC ng Ireland -- para sa pagpapadala ng mga rekord ng EU sa mga server ng Facebook sa US.

Sinasalamin ng parehong kaso ang isang malinaw na pattern. Ang mga cross-border na paglilipat na walang wastong mga pananggalang ay nakakaakit ng pinakamalaking multa. Patuloy na magpapatuloy ang mga regulator hanggang sa magbago ang mga kumpanya.

Ang kabuuang multa ng GDPR ay umabot sa €5.65 bilyon hanggang 2025. Ang pagpapatupad ay hindi na isang panganib sa background. Ito ay isang aktibong gastos ng paggawa ng negosyo. Tingnan ang aming gabay sa pagsunod sa GDPR para sa isang praktikal na pangkalahatang-ideya.

Ano ang Napagpasiyahan ng Kaso ng TikTok

Ang kasong ito ay hindi tungkol sa isang paglabag. Ito ay tungkol sa kung saan napupunta ang mga file ng user at ang legal na batayan para ilipat ang mga ito sa mga hangganan.

Nag-imbak ang TikTok ng mga file ng EU user sa mga server. Ang mga kawani sa China ay maaaring ma-access ang mga server na iyon. Nililimitahan ng GDPR Articles 44-46 ang mga paglilipat sa mga bansang walang desisyon sa pagkakatugma ng EU. Walang ganitong desisyon ang China. Sinabi ng TikTok na mayroon itong sapat na mga teknikal na hakbain. Sinabi ng mga regulator na hindi.

Simple ang aral. Ang pag-host sa EU ay hindi sapat kung ang mga kawani sa labas ng EU ay maaaring ma-access ang mga file. Hindi rin ito sapat kung ang kumpanya ay dapat sumunod sa mga batas mula sa isang hindi sapat na bansa.

Mahalaga ito kapag pumili ka ng mga SaaS vendor. Maaaring sabihin ng isang vendor na "nag-ho-host kami sa EU." Ngunit kung ang kanilang magulang ay nakabase sa ibang lugar, nalalapat ang parehong panganib. Kung ang kanilang mga kawani sa suporta ay nag-a-access ng mga file ng user mula sa labas ng EU, nalalapat ang parehong panganib. Ibinabahagi rin ng kanilang mga customer ang panganib na iyon. Suriin ang aming checklist ng pagsasapares ng pagsunod bago pumirma ng DPA.

Multa ng GDPR: €5.65 Bilyon at Patuloy na Lumalaki

Aksyon sa PagpapatupadMultaTaonBatayan
Meta (Facebook) -- DPC€1.2B2023Ilegal na paglilipat ng EU-US
TikTok -- DPC€530M2025Paglilipat ng EU-China
Amazon -- CNPD Luxembourg€746M2021Pag-target ng advertising
WhatsApp -- DPC€225M2021Mga pagkabigo sa transparency
Google -- CNIL France€150M2022Cookie consent

Lumipat ang mga regulator mula sa pagtatakda ng mga alituntunin patungo sa pagpapatupad ng mga ito. Ang mga paglabag sa paglilipat ay ngayon ay nakakaakit ng pinakamalaking multa. Alamin kung paano namin pinangangasiwaan ang seguridad at mga pananggalang.

Germany, Switzerland, at mga Sektor na Alituntunin

Ang GDPR Articles 44-46 ay nalalapat sa lahat ng sektor. Ngunit ang ilang mga industriya ay nahaharap sa mga karagdagang alituntunin sa ibabaw ng GDPR.

Healthcare sa Germany: Nililimitahan ng Social Code Book V (SGB V) ang mga dokumentong pangkalusugan sa mga sistemang kinokontrol ng Germany. Ang isang insurer ng Germany ay maaaring gumamit ng isang cloud de-identification tool sa Dublin -- iyon ay EU. Ngunit maaari pa rin itong lumabag sa SGB V kung ang may-ari ng tool ay isang hindi German na kumpanya.

Banking sa Switzerland: Ipinagbabawal ng Artikulo 47 ng Banking Act ang pagbabahagi ng mga dokumento ng kliyente sa mga panlabas na partido. Kasama dito ang mga cloud provider nang walang tahasang pahintulot ng kliyente. Ang mga file ng customer ng isang Swiss na bangko, kahit sa isang tool na naka-host sa EU, ay maaaring mag-trigger ng batas na ito.

Pampublikong sektor ng Germany: Nililimitahan ng gabay ng BfDI ang mga dokumento ng gobyerno sa mga sistemang pinapatakbo ng gobyerno. Ang isang de-identification tool sa mga server ng EU ng isang komersyal na cloud provider ay hindi nakakatugon sa pamantayang ito.

Ang aral: Ang pagsasapares sa GDPR ay ang sahig, hindi ang kisame. Maraming sektor ang nahaharap sa mas mahigpit na mga alituntunin. Ang aming pangkalahatang-ideya ng pagpoproseso ng entity ay nagmamapa kung aling mga alituntunin ang nalalapat sa bawat sektor.

Sino ang May Desisyon sa Pagkakatugma?

Pinapayagan ng GDPR ang mga bansa na palitan ang impormasyon ng user nang malaya kung ang European Commission ay nagsasabi na sila ay nagbibigay ng katumbas na proteksyon. Ang mga bansang ito ay karapat-dapat:

Andorra, Argentina, Canada (mga komersyal na grupo), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, South Korea, Switzerland, UK, Uruguay, at USA (Data Privacy Framework).

Ang mga bansang ito ay hindi karapat-dapat: China, India, Russia, Brazil, karamihan sa Asia-Pacific, karamihan sa Middle East, karamihan sa Africa.

Ang EU-US Data Privacy Framework ay muling ipinatupad. Ngunit ito ay nahahamon pa rin sa korte. Ang parehong mga legal na argumento ay pumatay sa Safe Harbor (Schrems I) at Privacy Shield (Schrems II). Ang mga kumpanyang gumagamit ng framework na ito ay dapat maghanda para sa isa pang pagpapawalang-bisa.

Apat na Antas ng Proteksyon para sa Pagpili ng Tool

Lumilikha ang mga kaso ng TikTok at Meta ng malinaw na ranggo para sa pagsusuri ng SaaS tool.

Antas 1 -- Pag-host sa EU: Ang impormasyon ng user ay pinoproseso at iniimbak sa mga server ng EU. Nakakatugon ito sa GDPR baseline para sa karamihan ng mga kaso ng paggamit.

Antas 2 -- Operator na nakabase sa EU: Ang magulang ng vendor ay nakabase sa EU. Hindi ito napapailalim sa mga batas ng hindi sapat na bansa. Inaayos nito ang problema ng TikTok. Ang pag-host sa EU na pares ng pagkakalantad sa batas ng China para sa magulang ay hindi ligtas.

Antas 3 -- Zero-knowledge na disenyo: Kahit na ang vendor ay na-hack o nakatanggap ng court order, hindi nila mababasa ang iyong mga file. Hawak mo ang mga encryption key. Hawak lamang nila ang ciphertext. Basahin ang tungkol sa aming zero-knowledge na diskarte.

Antas 4 -- Lokal na pagpoproseso: Ang iyong mga dokumento ay hindi kailanman umaalis sa iyong sariling mga sistema. Ang pagpoproseso ay tumatakbo sa lokal na hardware o mga makina na kinokontrol ng gobyerno. Ito ang tanging paraan upang ganap na matugunan ang German SGB V, Swiss banking secrecy, at mga alituntunin ng BfDI. Tingnan ang aming mga plano sa pagpepresyo para sa mga opsyon ng Desktop App.

Mga DPIA Pagkatapos ng TikTok

Nangangailangan ang GDPR Article 35 ng Data Protection Impact Assessment para sa mataas na panganib na pagpoproseso. Ito ay tinatawag na DPIA. Kapag ang mga file ng user ay napupunta sa mga processor ng third-country, kailangan mo rin ng transfer impact assessment.

Pagkatapos ng TikTok, ang mga DPIA para sa mga cloud redaction tool ay dapat sagutin ang apat na tanong.

Hurisdiksyon ng magulang: Ang magulang ng vendor ba ay napapailalim sa mga batas -- CLOUD Act, batas ng cybersecurity ng China -- na maaaring pilitin silang ibigay ang mga EU user file?

Access ng kawani: Ang mga kawani ba sa mga hindi sapat na bansa ay nag-a-access ng mga EU user file sa mga normal na operasyon?

Legal na batayan: Anong mekanismo ng GDPR Article 46 ang sumasaklaw sa anumang mga paglilipat -- SCCs, BCRs, o mga derogasyon?

Epekto ng paglabag: Kung ang vendor ay na-hack o napilitan na ibigay ang mga dokumento, ano ang malantad?

Ipinakita ng TikTok na hindi sapat ang mga kontrata nang mag-isa. Kailangan mong suriin ang mga ito para sa pagkakatugma. Idokumento ang iyong mga sagot. I-browse ang aming FAQ para sa mga karaniwang tanong sa DPIA.

Mga Tanong sa Procurement para sa 2026

Ang mga DPO ay ngayon ay nagtatanong ng napaka-tiyak na mga tanong kapang nagsusuri ng mga SaaS vendor para sa mga tool sa pagpoproseso ng personal na impormasyon.

  • Nasaan ang mga server? (EU?)
  • Nasaan nakabase ang parent na kumpanya? (EU? US? Iba?)
  • Ang mga kawani na hindi EU ba ay nag-a-access ng mga EU customer file?
  • Anong batas ang namamahala ng mga court order para sa mga personal na dokumento?
  • Ang vendor ba ay humahawak ng mga encryption key, o ikaw?
  • May opsyon bang lokal na pagpoproseso?

Ang mga sagot sa mga tanong na ito -- hindi lamang ang mga lagda sa DPA -- ang nagtatakda ng tunay na pagsasapares sa soberanya. Alamin kung paano itinayo ang anonym.legal upang sagutin ang lahat ng mga ito sa aming pahayag ng tagapagtatag. Maaari ka ring mag-browse sa aming glossary ng mga pangunahing termino para sa mabilis na mga kahulugan ng SCCs, BCRs, at mga desisyon sa pagkakatugma.

Malinaw ang kapaligiran pagkatapos ng TikTok. Maingat na pinomonitor ng mga regulator ang mga cross-border na paglilipat. Mataas ang mga multa. Tumataas ang mga ito. Ang iyong pagpili ng vendor ay ngayon ay isang regulatoryo na desisyon. Hindi lamang ito teknikal.

Gumagamit ang anonym.legal ng mga EU-based na data center ng Hetzner na may zero-knowledge na disenyo. Hindi kailanman nakikita ng server ang iyong plaintext na nilalaman. Ang isang buong paglabag sa server ay nagbubunga lamang ng AES-256-GCM ciphertext. Kailangan ng lokal na pagpoproseso lamang? Ang Desktop App ay tumatakbo nang ganap sa iyong device nang walang mga panlabas na koneksyon.

Mga Pinagmulan

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.