Холандският Autoriteit Persoonsgegevens (AP) наложи глоба от 290 милиона евро срещу Uber през август 2024 г. за неоторизирано прехвърляне на данни между ЕС и САЩ на лични данни на водача — най-голямата глоба GDPR за нарушение на трансфер на данни в историята на ЕС. В комбинация с 21 400+ жалби, обработени през 2023 г., холандската AP се утвърди като един от най-последователните правоприлагащи органи в Европа.
Глобата на Uber: какво откри AP
Uber събра лични данни на холандски и френски шофьори на Uber — включително данни за местоположението, комуникации, документи за самоличност, шофьорски досиета и данъчна информация. Тези данни бяха прехвърлени към сървърите на Uber в САЩ без подходящи механизми за прехвърляне.
Основните констатации:
- Неадекватен механизъм за прехвърляне: Uber разчита на Обвързващи корпоративни правила (BCR), които AP счете за неадекватни за обема и чувствителността на прехвърляните лични данни на водача
- Няма оценка на въздействието на прехвърлянето: Uber не успя да проведе TIA, доказвайки, че законодателството на САЩ не подкопава защитата на прехвърлянето
- Данните за шофьора са чувствителни: Данните за местоположението, данните за печалбите и оценките за ефективност — комбинирани — позволяват цялостно наблюдение на отделните водачи. AP класифицира тази комбинация като еквивалентна на чувствителни лични данни, изискващи повишена защита
Глобата от 290 милиона евро е най-голямата глоба за нарушение на трансграничен трансфер в единичен случай в историята на правоприлагането в ЕС. Той установява, че прехвърлянето на лични данни на служители/изпълнители към САЩ изисква същите строги TIA и допълнителни мерки като прехвърлянето на потребителски данни.
Приоритетите на холандската АП за правоприлагане през 2025 г
AP публикува своите области на фокус на правоприлагането за 2025 г.:
Мониторинг на служителите (43% от случаите): Технологията за дистанционно наблюдение на работата — проследяване на производителността, заснемане на екрана, регистриране на натиснати клавиши, наблюдение на местоположението на отдалечени работници — остава основната цел на холандската AP за прилагане. AP изисква документация за пропорционалност за всеки мониторинг на служителите: по-малко натрапчивите алтернативи трябва да бъдат разгледани и документирани преди прилагането на технология за наблюдение.
Трансгранични трансфери на данни (31% от случаите): След Uber, AP одитира механизмите за трансфер на холандски компании с операции в САЩ, Азия и неадекватни държави. Компаниите, използващи американски SaaS инструменти за човешки ресурси, управление на проекти или данни за клиенти, трябва да имат актуализирани TIA.
Автоматизирано вземане на решения (26% от случаите): Автоматизираният кредитен рейтинг, базиран на алгоритъм скрининг на наемане и оценка на изпълнението, управлявана от AI, създават задължения по член 22. Холандското прилагане на AP се фокусира върху организации, които използват алгоритмични решения, засягащи холандски служители или потребители, без адекватни механизми за преглед от хора.
BSN: Основният идентификатор на Холандия
Burgerservicenummer (BSN) е 9-цифрен граждански служебен номер на Нидерландия, използващ алгоритъма за валидиране Elfproef (единадесет доказателство) — проверка на претеглена сума модул-11.
Elfproef: умножете всяка цифра по намаляващо тегло (9, 8, 7, 6, 5, 4, 3, 2, -1), сумирайте продуктите и резултатът трябва да се дели на 11.
BSN е сред най-защитените от закона идентификатори в Холандия — Законът за BSN (Wet algemene bepalingen burgerservicenummer) ограничава използването му до специфични разрешени контексти (данъци, здравеопазване, държавни услуги, заплати на работодателя). Организациите, които обработват BSN извън оторизирани контексти, се сблъскват със специфично прилагане на AP съгласно Закона за BSN в допълнение към GDPR.
Проблемът с откриването: 56% от генеричните NLP инструменти не успяват да валидират правилно BSN номера (техническа оценка на AP). Без внедряване на Elfproef:
- Всеки 9-цифрен номер се маркира като потенциален BSN - генериране на масивни фалшиви положителни резултати във финансови и административни документи
- Транспонираните или с грешки BSN (често срещани при ръчно въвеждане на данни) се пропускат, защото не отговарят на Elfproef, но съответстват на шаблона на 9-цифрения формат
Изисквания за NER за холандски език
Холандският (Нидерландия) има специфични езикови характеристики, свързани с откриването на PII:
Сложни думи: Нидерландският широко използва сложни думи — „persoonsgegevens“ (лични данни), „Burgerservicenummer“ (номер за гражданска услуга). NLP токенизатори, обучени на английски или други аналитични езици, често токенизират холандски съединения неправилно.
Умалителни: Нидерландският често използва умалителни форми (окончания -je, -tje) за имена — „Annetje“, „Hansje“. Моделите за разпознаване на имена трябва да работят както с основни форми, така и с умалителни.
Холандски адресни формати: „Straat,“ „Laan,“ „Weg,“ „Plein,“ „Gracht“ за типове улици. Формат на пощенския код: 4 цифри + 2 букви (напр. 1234 AB). Холандските пощенски кодове са много специфични (отделни улици) — по-идентифициращи от немските или британските пощенски кодове.
**IBAN NL формат: ** Холандските IBAN започват с NL + 2 контролни цифри + 4-буквен банков код + 10-цифрен номер на сметка. Холандия има една от най-високите нива на навлизане на безконтактни плащания в Европа, което означава, че холандските финансови документи са пълни с IBAN номера.
За съответствие с холандски AP: откриване на BSN с валидиране на Elfproef, NER на холандски език (spaCy nl_core_news), откриване на холандски IBAN и документирано управление на подпроцесор за трансгранични трансфери са техническата основа. След Uber оценките на въздействието на прехвърлянето за отношенията с доставчици в САЩ вече не са по избор — те са активни цели за одит на AP.
Източници:
- [Autoriteit Persoonsgegevens: Холандски орган за защита на данните] (https://www.autoriteitpersoonsgegevens.nl/) – AP: Uber Fine август 2024 г.
- AP: Годишен отчет за 2024 г.