anonym.legal

By · Last updated 2026-03-06

Назад до блогуGDPR та відповідність

Штраф TikTok на €530 млн: цифровий суверенітет даних за GDPR

Штраф TikTok на €530 млн за передачу даних з ЄС до Китаю відкрив нову еру виконання вимог щодо суверенітету даних. За загальної суми €5,65 млрд штрафів за GDPR вибір постачальника став регуляторним рішенням.

March 6, 20269 хв читання
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

Рішення у справі TikTok, яке змінило підхід до суверенітету даних

Оновлено у 2026 році

У травні 2025 року Комісія із захисту даних Ірландії оштрафувала TikTok на €530 мільйонів. Причина проста. TikTok передавав дані користувачів із ЄС до Китаю без належних гарантій.

Це другий за величиною одиночний штраф за GDPR в історії. Більший — лише штраф €1,2 мільярда щодо Meta у 2023 році. Той також виписала Комісія Ірландії — за передачу даних із ЄС на сервери Facebook у США.

Обидві справи мають чіткий зразок. Транскордонні передачі без належних гарантій залучають найбільші штрафи. Регулятори продовжуватимуть чинити тиск, поки компанії не змінять підхід.

Загальна сума штрафів за GDPR досягла €5,65 мільярда до 2025 року. Виконання більше не є фоновим ризиком. Це активна вартість ведення бізнесу. Дивіться наш практичний посібник із відповідності GDPR.

Що вирішила справа TikTok

Ця справа стосувалася не порушення. Мова йшла про те, куди потрапляють дані користувачів і на якій правовій основі вони передаються через кордон.

TikTok зберігав дані користувачів із ЄС на серверах. Персонал у Китаї мав доступ до цих серверів. Статті 44–46 GDPR обмежують передачу до країн без рішення ЄС про адекватність. Китай такого рішення не має. TikTok стверджував, що має належні технічні заходи. Регулятори не погодилися.

Урок простий. Розміщення в ЄС недостатньо, якщо персонал за межами ЄС може отримати доступ до файлів. Цього також недостатньо, якщо компанія повинна підпорядковуватися законам країни, що не має рішення про адекватність.

Це важливо під час вибору постачальників SaaS. Постачальник може казати «ми розміщуємось в ЄС». Але якщо їхня материнська компанія знаходиться в іншому місці, той самий ризик застосовується. Якщо їхній персонал підтримки отримує доступ до файлів користувачів ззовні ЄС, той самий ризик застосовується. Їхні клієнти також поділяють цей ризик. Перевірте наш контрольний список відповідності перед підписанням угоди про обробку даних.

Штрафи за GDPR: €5,65 мільярда і більше

Заходи правозастосуванняШтрафРікПідстави
Meta (Facebook) — DPC€1,2 млрд2023Незаконні передачі ЄС-США
TikTok — DPC€530 млн2025Передачі ЄС-Китай
Amazon — CNPD Люксембург€746 млн2021Цільова реклама
WhatsApp — DPC€225 млн2021Порушення прозорості
Google — CNIL Франція€150 млн2022Згода на файли cookie

Регулятори перейшли від встановлення правил до їх виконання. Порушення при передачі тепер залучають найбільші штрафи. Дізнайтеся, як ми вирішуємо питання безпеки та гарантій.

Німеччина, Швейцарія та галузеві правила

Статті 44–46 GDPR застосовуються до всіх секторів. Але деякі галузі стикаються з додатковими правилами поверх GDPR.

Охорона здоров'я в Німеччині: Соціальний кодекс Книга V (SGB V) обмежує медичні документи системами під контролем Німеччини. Німецький страховик може використовувати хмарний інструмент деідентифікації в Дубліні — це ЄС. Але він все одно може порушити SGB V, якщо власник інструменту є не-німецькою компанією.

Швейцарський банкінг: Стаття 47 Закону про банківську діяльність забороняє передачу клієнтських документів зовнішнім сторонам. Це включає хмарних провайдерів без явної згоди клієнта. Клієнтські файли швейцарського банку, навіть в інструменті, що розміщений в ЄС, можуть підпасти під цей закон.

Державний сектор Німеччини: Рекомендації BfDI обмежують державні документи державними системами. Інструмент деідентифікації на серверах комерційного хмарного провайдера в ЄС не відповідає цьому стандарту.

Урок: відповідність GDPR — це підлога, а не стеля. Багато секторів стикаються з суворішими правилами. Наш огляд обробки сутностей відображає, які правила застосовуються за секторами.

Хто має рішення про адекватність?

GDPR дозволяє країнам вільно обмінюватися даними користувачів, якщо Європейська комісія вважає, що вони забезпечують рівний захист. Ці країни відповідають вимогам:

Андорра, Аргентина, Канада (комерційні групи), Фарерські острови, Гернсі, Ізраїль, острів Мен, Японія, Джерсі, Нова Зеландія, Південна Корея, Швейцарія, Велика Британія, Уругвай і США (Рамка захисту даних).

Ці країни не відповідають вимогам: Китай, Індія, Росія, Бразилія, більшість Азіатсько-Тихоокеанського регіону, більшість Близького Сходу, більшість Африки.

Рамка захисту даних ЄС-США знову в силі. Але її досі оскаржують у суді. Ті самі правові аргументи знищили Safe Harbor (Schrems I) і Privacy Shield (Schrems II). Компанії, що використовують цю рамку, повинні планувати можливе чергове скасування.

Чотири рівні захисту під час вибору інструментів

Справи TikTok і Meta створюють чіткий рейтинг для оцінки інструментів SaaS.

Рівень 1 — Розміщення в ЄС: Інформація про користувачів обробляється та зберігається на серверах ЄС. Це відповідає базовому рівню GDPR для більшості випадків використання.

Рівень 2 — Оператор із ЄС: Материнська компанія постачальника знаходиться в ЄС. На неї не поширюються закони країн без адекватності. Це вирішує проблему TikTok. Розміщення в ЄС у поєднанні з впливом китайського права на материнську компанію небезпечне.

Рівень 3 — Архітектура без знань (zero-knowledge): Навіть якщо постачальника зламають або він отримає судовий наказ, він не може прочитати ваші файли. Ви тримаєте ключі шифрування. Вони тримають лише зашифрований текст. Прочитайте про наш підхід zero-knowledge.

Рівень 4 — Локальна обробка: Ваші документи ніколи не виходять за межі ваших власних систем. Обробка виконується на локальному обладнанні або машинах під державним контролем. Це єдиний спосіб повністю виконати вимоги SGB V Німеччини, банківської таємниці Швейцарії та правила BfDI. Дивіться наші тарифні плани для варіантів Настільного додатка.

Оцінки впливу на захист даних після справи TikTok

Стаття 35 GDPR вимагає Оцінки впливу на захист даних (DPIA) для обробки з підвищеним ризиком. Коли файли користувачів надходять до процесорів у третіх країнах, вам також потрібна оцінка впливу передачі.

Після справи TikTok DPIA для хмарних інструментів редагування повинні відповідати на чотири питання.

Юрисдикція материнської компанії: Чи підпорядковується материнська компанія постачальника законам — CLOUD Act, китайський закон про кібербезпеку — що могли б змусити їх передати файли ЄС?

Доступ персоналу: Чи мають співробітники в країнах без адекватності доступ до файлів користувачів ЄС у звичайній діяльності?

Правова основа: Який механізм Статті 46 GDPR охоплює будь-які передачі — СКУ, BCR або відступлення?

Вплив порушення: Якщо постачальника зламають або змусять передати документи, що буде розкрито?

Справа TikTok показала: договори самі по собі недостатні. Ви повинні оцінити їх на предмет адекватності. Задокументуйте свої відповіді. Перегляньте наш FAQ для типових питань про DPIA.

Питання для закупівель у 2026 році

Спеціалісти з захисту даних тепер ставлять дуже конкретні питання при перевірці постачальників SaaS для інструментів обробки персональних даних.

  • Де знаходяться сервери? (ЄС?)
  • Де знаходиться материнська компанія? (ЄС? США? Інше?)
  • Чи мають співробітники за межами ЄС доступ до файлів клієнтів ЄС?
  • Яке право регулює судові накази щодо персональних документів?
  • Хто тримає ключі шифрування — постачальник чи ви?
  • Чи є варіант локальної обробки?

Відповіді на ці запитання — а не лише підписи під угодами про обробку даних — визначають реальну відповідність суверенітету. Дізнайтеся, як anonym.legal побудований, щоб відповісти на всі ці питання, у нашій заяві засновника. Ви також можете переглянути наш глосарій ключових термінів для швидких визначень СКУ, BCR і рішень про адекватність.

Середовище після справи TikTok є однозначним. Регулятори уважно стежать за транскордонними передачами. Штрафи великі. Вони зростають. Ваш вибір постачальника тепер є регуляторним рішенням. Це вже не просто технічне питання.

anonym.legal використовує дата-центри Hetzner у ЄС з архітектурою zero-knowledge. Сервер ніколи не бачить ваш вміст у відкритому вигляді. Повне порушення сервера дасть лише зашифрований текст AES-256-GCM. Потрібна лише локальна обробка? Настільний додаток повністю запускається на вашому пристрої без зовнішніх з'єднань.

Джерела

Схожі статті

GDPR та відповідність

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR та відповідність

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR та відповідність

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готові захистити свої дані?

Почніть анонімізувати PII з 285+ типами сутностей на 48 мовах.

Почати безкоштовну пробну версіюПереглянути функції

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.