anonym.legal

By · Last updated 2026-06-05

Назад до блогуGDPR та відповідність

Ірландська DPC: 80% найбільших штрафів GDPR в ЄС

€530 млн TikTok, €310 млн LinkedIn, €251 млн Meta — усі від ірландської DPC. Ось чому Ірландія є головним офісом Big Tech в ЄС і що правозастосування DPC означає для SaaS.

June 5, 20268 хв читання
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Чому Ірландія очолює правозастосування в ЄС

Ірландська Комісія із захисту даних (DPC) є головним органом для більшості великих технологічних компаній ЄС. Це не випадковість.

Низька податкова ставка Ірландії залучила Apple, Google, Meta, LinkedIn та TikTok. Усі вони відкрили там свої головні офіси в ЄС.

Стаття 60 GDPR робить DPC головним органом для цих компаній. З цього правила випливають три наслідки.

По-перше, скарга з Німеччини на Facebook надходить до ірландської DPC, а не до німецького BfDI. По-друге, DPC співпрацює з іншими органами ЄС у транскордонних справах. По-третє, рішення DPC проти Meta застосовується в усьому ЄС.

Результат очевидний. DPC видала більший обсяг штрафів, ніж усі інші органи ЄС разом узяті. Дивіться наш огляд відповідності GDPR про те, як це впливає на вибір вендора.

Три штрафи, що визначають 2024–2025 рр.

€530 млн проти TikTok (травень 2025 р.): Китайські інженери отримували доступ до даних користувачів ЄС. Це порушило Статті 44–46 GDPR. Ці статті обмежують передачі до країн без рішення ЄС про адекватність. Китай такого рішення не має. TikTok стверджував, що мав належний контроль. DPC вирішила, що ні.

€310 млн проти LinkedIn (жовтень 2024 р.): LinkedIn спирався на «законний інтерес» для аналізу поведінки. DPC визнала це недійсним. Обробка не була необхідною для заявленої мети. Тест на балансування не був пройдений на користь LinkedIn.

€251 млн проти Meta (листопад 2024 р.): Про витік даних Facebook 2018 року не було вчасно повідомлено DPC. DPC також виявила, що неякісні журнали аудиту унеможливили вимірювання масштабів розкритих даних.

Ці три справи доповнили раніший штраф Meta на €1,2 млрд у травні 2023 року. Той штраф теж видала DPC — за незаконні передачі даних ЄС-США. Він залишається найбільшим штрафом GDPR в історії.

У 2024 році DPC розглянула понад 8 500 транскордонних справ. Перегляньте нашу сторінку безпеки та відповідності, щоб побачити, як дизайн нульових знань вирішує кожне порушення.

Що розкриває кожен штраф

Порушення транскордонного доступу

Усі три штрафи мають одну спільну основну проблему. Персональні дані були відкриті для персоналу в країнах без правил конфіденційності на рівні ЄС.

Штраф TikTok був прямолінійним. Файли користувачів ЄС потрапляли до китайських інженерів попри задекларований контроль.

Що це означає для вибору вендора: Запитайте, чи можуть інженери з-за меж ЄС отримувати доступ до даних користувачів ЄС у повсякденній роботі. Вендор може розміщувати сервери в Дубліні, але все одно відкривати файли ЄС через американських співробітників служби підтримки. Розміщення в ЄС само по собі недостатньо. Наш посібник з обробки сутностей показує, як засоби контролю доступу відповідають Статті 46 GDPR.

Порушення законної підстави

Штраф LinkedIn стосувався не витоку. Він стосувався того, як LinkedIn обґрунтовував свою обробку.

«Законний інтерес» — не універсальне право. Контролери повинні документувати справжній тест на балансування. Цей тест повинен показати, що їхній інтерес переважає права користувача. Наша сторінка відповідності охоплює, як перевіряти заяви вендора щодо законної підстави.

Порушення ведення журналів та повідомлення

Штраф Meta на €251 млн містив ключове рішення. Неякісні журнали аудиту унеможливили вимірювання масштабів витоку.

Стаття 33 GDPR вимагає повідомлення про витік протягом 72 годин. У повідомленні має бути зазначено масштаб розкритих даних. Ви не можете повідомляти про масштаб, який не можете виміряти.

Запитайте потенційних вендорів про структуру їхніх журналів аудиту. Якщо вендор не може відповісти «які записи були розкриті?» після інциденту, він не відповідає вимогам Статті 33(3)(b).

Закономірність у справах DPC

Читаючи всі чотири великі штрафи DPC, виявляється одна закономірність. Регулятори діють проти проектів, де інженери вендора можуть бачити вміст користувачів. Кожен великий штраф стосувався погано контрольованого доступу до персональних даних.

Дизайн нульових знань вирішує основне занепокоєння в кожній справі. Вміст користувача зашифровано. Вендор не має ключів дешифрування.

Для справ TikTok та Meta про передачі дані не-ЄС-інженери можуть отримати доступ до сервера, але бачать лише шифротекст. Читабельні записи не розкриваються. Для справи Meta про витік повний злом сервера не дає нічого корисного. Масштаб витоку зменшується. Для LinkedIn вендор, що ніколи не бачить тексту у відкритому вигляді, не може виконувати на ньому аналіз поведінки.

Це є прямою відповіддю на кожну дію DPC. Дивіться наш огляд безпеки для деталей або наше слово засновника про те, чому anonym.legal з першого дня побудований саме так.

Що означає «головне місце діяльності»

Деякі компанії структурують свою присутність в ЄС для контролю над тим, який DPA має юрисдикцію. Позиція DPC у цьому питанні має значення.

«Головне місце діяльності» — це не просто адреса компанії. Це місце, де знаходиться центральне управління ЄС. Для контролерів — це місце, де приймаються рішення щодо цілей обробки.

Компанія з командою з питань конфіденційності в Лондоні може не мати головного місця діяльності в ЄС. Тоді кожен орган захисту даних держави-члена може заявити свої повноваження щодо місцевих скарг.

Питання для перевірки вендора

Використовуйте ці питання при оцінці SaaS-вендорів, що обробляють персональні дані.

Юрисдикція та доступ:

  • Де знаходиться головне місце діяльності вендора в ЄС?
  • Чи можуть не-ЄС-інженери отримувати доступ до даних користувачів ЄС у звичайній роботі?
  • Чи підпадає материнська компанія вендора під дію CLOUD Act або закони Китаю з безпеки?

Технічний дизайн:

  • Чи залишається вміст користувачів ЄС на серверах у ЄС?
  • Чи тримає вендор ключі шифрування, чи їх тримає клієнт?
  • Чи є журнали аудиту достатньо детальними для вимірювання масштабів витоку?

Документи про передачі:

  • Який механізм Статті 46 GDPR охоплює будь-які потоки ЄС-США?
  • Чи проводив вендор оцінку впливу передачі?
  • Які додаткові технічні заходи діють?

Правозастосування DPC послідовне в одному питанні. Навіть компанії з командами з питань конфіденційності та DPO стикаються з великими штрафами, коли їхній технічний дизайн не відповідає їхнім заявам. Дивіться наші кейси та FAQ для отримання додаткової інформації.

anonym.legal використовує сервери Hetzner у ЄС із дизайном нульових знань. Сервери зберігають лише шифротекст AES-256-GCM. Повний витік не розкриває жодних читабельних записів. Застосунок для робочого столу обробляє весь вміст на пристрої без зовнішніх підключень.

Джерела

Схожі статті

GDPR та відповідність

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR та відповідність

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR та відповідність

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готові захистити свої дані?

Почніть анонімізувати PII з 285+ типами сутностей на 48 мовах.

Почати безкоштовну пробну версіюПереглянути функції

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.