Прецедент TikTok
Штраф Ірландської Комісії з захисту даних у травні 2025 року у розмірі €530 мільйонів проти TikTok за передачу даних користувачів Європейського економічного простору до Китаю встановив прецедент правозастосування, що виходить за межі компаній соціальних медіа. Висновок DPC: TikTok порушив статтю 46(1) GDPR, передавши персональні дані до третьої країни — Китаю — без адекватних гарантій. Передача і є порушенням, а не збір або обробка даних, що відбулися після неї.
Сфера дії прецеденту: будь-яка передача персональних даних ЄС на сервер за межами ЄС для обробки — включаючи обробку законним, відповідним вимогам інструментом — є передачею даних згідно зі статтями 44–49 GDPR. Передача вимагає або рішення про достатність захисту (ЄС визнав захист даних в країні-одержувачі достатнім), або Стандартних договірних положень (договірні засоби захисту, що зобов'язують одержувача), або Обов'язкових корпоративних правил (затвердженої внутрішньої транснаціональної системи), або іншого механізму за статтею 46.
Сукупні штрафи GDPR досягли €5,65 мільярда до 2025 року. Порушення при передачі даних тепер в середньому становлять €18 мільйонів за одну дію правозастосування (DLA Piper 2025), що робить їх однією з категорій з найвищими ставками.
Парадокс інструменту анонімізації
Організація, яка використовує американський хмарний інструмент анонімізації SaaS для обробки даних клієнтів з ЄС, стикається зі структурною проблемою GDPR. Робочий процес: дані клієнтів з ЄС завантажуються на американські сервери інструменту анонімізації, обробляються та повертаються анонімізованими. Анонімізовані дані зберігаються та використовуються в ЄС. Вихідні персональні дані — оригінальні дані клієнтів з ЄС — потрапляли на американські сервери під час етапу обробки.
Цей транзит є передачею даних згідно з GDPR. Намір організації (анонімізувати дані для цілей відповідності) не усуває аналіз за статтями 44–49. Факт подальшої анонімізації даних не скасовує передачу попередньо анонімізованих персональних даних.
Аналіз TikTok Ірландської DPC безпосередньо застосовується: порушенням є передача персональних даних на сервер за межами ЄС, незалежно від того, яка обробка відбувається на сервері-одержувачі. Американський інструмент анонімізації, який отримує персональні дані ЄС на американських серверах, отримав передачу персональних даних ЄС. Організація, що використовує інструмент, потребує того ж рішення про достатність захисту, Стандартних договірних положень або Обов'язкових корпоративних правил, що й будь-яка інша передача даних.
Вирішення проблеми за допомогою архітектури нульового знання
Вирішення є архітектурним: інструмент анонімізації, який ніколи не отримує персональних даних, не може бути причиною передачі даних. Підхід з нульовим знанням — коли виявлення PII та заміна відбуваються на стороні клієнта, а на сервери інструменту передається або зберігається лише анонімізований результат — усуває проблему передачі даних.
При архітектурі нульового знання: вихідні персональні дані клієнта з ЄС обробляються в браузері користувача або локальному застосунку. Виявлення PII відбувається локально. Анонімізований результат (з реальними PII, заміненими токенами або зашифрованими значеннями) є єдиними даними, що передаються на сервер. Сервер отримує анонімізовані дані — дані, які, якщо анонімізація є повною, не є персональними даними згідно з GDPR.
Для організацій, що документують свій Реєстр операцій з обробки (ROPA) за статтею 30, ця архітектурна відмінність має значення: запис ROPA для інструменту анонімізації на сервері ЄС з нульовим знанням не фіксує жодної транскордонної передачі. Запис ROPA для інструменту анонімізації на американському сервері, який отримує вихідні персональні дані, фіксує транскордонну передачу, що вимагає документування правової підстави.
Джерела: