Інструмент анонімізації та GDPR: штраф TikTok роз'яснено
Прецедент TikTok
У травні 2025 року Ірландська комісія із захисту даних оштрафувала TikTok на €530 мільйонів. TikTok передавав персональні дані користувачів ЄС до Китаю без належних гарантій.
Ключовий момент є конкретним. Порушення полягало в самому факті передачі PII. Не в їх збиранні. Не в тому, що відбувалося в Китаї. Відправлення записів ЄС на сервер поза ЄС порушило Статтю 46(1).
Статті 44–49 GDPR застосовуються до будь-якого транскордонного переміщення записів ЄС. Кожне переміщення потребує правової основи. Поширені варіанти:
- Рішення про достатність (ЄС схвалює законодавство країни-отримувача)
- Стандартні договірні положення (SCC), що зобов'язують отримувача
- Обов'язкові корпоративні правила для великих транснаціональних компаній
- Інший механізм за Статтею 46
Штрафи за GDPR досягли €5,65 мільярда до 2025 року. Транскордонні порушення тепер у середньому становлять €18 мільйонів за одне рішення про правозастосування (DLA Piper 2025). Вони є одними з найбільш витратних категорій GDPR.
Проблема інструменту анонімізації
Багато організацій ЄС використовують американські інструменти для видалення PII зі свого контенту. Це виглядає безпечно. Завантажте контент із клієнтськими даними ЄС. Отримайте очищений результат. Зберігайте в ЄС.
Але необроблена персональна інформація спочатку пройшла через американський сервер. Це перетинання є передачею відповідно до Статей 44–49. Добрі наміри не змінюють правового аналізу. Видалення PII після цього не скасовує попереднє переміщення. Передача вже відбулася.
Логіка DPC Ірландії у справі TikTok застосовується тут. Порушення — це переміщення записів користувачів ЄС на сервер поза ЄС. Американський інструмент, що отримує PII ЄС на американських серверах, прийняв передачу. Він потребує SCC, рішення про достатність або BCR — так само, як і будь-яке інше транскордонне переміщення.
Організації часто це не помічають. Вони припускають, що результат анонімізації виправдовує факт передачі. Це не так. Правовий аналіз стосується того, що залишило ЄС, а не того, що повернулося назад.
Рішення нульового знання
Вирішення є архітектурним. Інструмент, що ніколи не отримує персональну інформацію, не може спричинити транскордонне порушення.
Дизайн нульового знання зберігає виявлення PII локально. Обробка відбувається у браузері користувача або локальному застосунку. Сервер інструменту бачить лише очищений результат — токени замість справжніх імен, ідентифікаторів і контактних даних.
За GDPR результат без персональної інформації не підпадає під правила передачі. Реальний контент не залишив ЄС.
Це розмежування важливе для записів за Статтею 30. Запис ROPA для інструменту з нульовим знанням у ЄС не реєструє транскордонного переміщення. Запис ROPA для американського інструменту, що отримує сирі PII ЄС, реєструє передачу. Цей запис потребує чітко задокументованої правової основи.
Наш посібник із відповідності GDPR охоплює те, що мають містити записи ROPA. Наш огляд відповідності безпеки пояснює технічні засоби контролю, що їх підтримують. Дивіться також наш посібник із узгодженості анонімізації для порад щодо документування.