Рішення щодо TikTok, що переосмислило суверенітет даних
У травні 2025 року Ірландська комісія із захисту даних (DPC) наклала штраф GDPR на €530 млн проти TikTok за передачу даних користувачів ЄС до Китаю без належних гарантій.
Цей штраф є другим за величиною індивідуальним штрафом GDPR в історії, поступаючись лише штрафу Meta на €1,2 млрд у 2023 році, також виданому ірландським DPC за незаконні передачі даних ЄС-США на американські сервери Facebook. Разом ці два справи встановлюють чіткий шаблон правозастосування: транскордонні передачі даних без належних гарантій є пріоритетною сферою правозастосування, і DPC накладатиме штрафи такого масштабу, що змушуватиме до поведінкових змін.
З €5,65 млрд накопичених штрафів GDPR до 2025 року, правозастосування GDPR більше не є фоновим ризиком відповідності.
Що встановив штраф TikTok
Перенесення даних до Китаю
TikTok перемістив дані користувачів ЄС на китайські сервери для обробки та моніторингу безпеки. DPC встановив, що:
- Відсутні адекватні захисні заходи для передачі до Китаю
- Стандартні договірні положення (SCC) не компенсують ризик доступу до даних китайськими властями
- Звинувачення «зберігання в ЄС» є неактуальними, якщо обробка або доступ відбувається в третіх країнах
Ключовий висновок: хостинг не дорівнює відповідності
Організації можуть думати, що вони відповідають вимогам, якщо:
- Дані зберігаються в ЄС
- Постачальник хостингу є компанією ЄС
- Стандартні договірні положення (SCC) підписані
Але виконання штрафу TikTok встановлює, що обробка, доступ або видимість з третьої країни може кваліфікуватися як передача — навіть якщо зберігання є в ЄС.
Нові вимоги суверенітету даних
Висновки є чіткими:
- Передачі даних визначаються доступом, а не зберіганням
- Навіть тимчасовий доступ з третіх країн може кваліфікуватися
- Загальнодоступні хмарні провайдери (AWS, Azure, GCP) несуть US CLOUD Act ризики
- Технічні заходи (шифрування, мінімізація) потрібні поверх юридичних SCC
Як anonym.legal вирішує суверенітет даних
anonym.legal розроблений з нуля для відповідності суверенітету даних ЄС:
| Функція | Реалізація |
|---|---|
| Хостинг | Hetzner, Фалькенштейн, Німеччина |
| Юридична особа | Зареєстрована в Німеччині |
| Хмарні постачальники | Ніякого AWS/Azure/GCP |
| CLOUD Act | Не застосовується (немає американського батьківського підприємства) |
| Обробка даних | 100% сервери ЄС |
Архітектура нульових знань
Поверх суверенітету даних:
- Паролі ніколи не залишають ваш пристрій
- Ключі шифрування лише на стороні клієнта
- Математично неможливо для нас отримати доступ до ваших даних
Висновок
Штраф TikTok встановлює нову норму: «розміщений в ЄС» недостатній. Справжній суверенітет даних вимагає:
-
Операцій, контрольованих ЄС
-
Технічних заходів, що запобігають доступу з третіх країн
-
Мінімізації даних та анонімізації PII перед будь-якою передачею
Джерела: