Холандска АП: Глобата от 290 милиона евро на Uber и...

Холандската AP и прецедентът Uber

Холандският Autoriteit Persoonsgegevens (AP) създаде най-значимия прецедент за правоприлагане на трансфер на данни в ЕС през август 2024 г.: глоба от 290 милиона евро срещу Uber Technologies за неоторизирано прехвърляне на лични данни на европейски шофьори към сървъри в Съединените щати.

Принудителните действия на Uber включват:

• Данни за европейски шофьори (таксиметрови лицензи, криминални проверки, медицински досиета, истории на пътувания), съхранявани на базирани в САЩ сървъри
• Прехвърляне на данни, след като EU-US Privacy Shield беше анулиран от Schrems II (юли 2020 г.)
• Продължаване на трансфери без прилагане на стандартни договорни клаузи или други предпазни мерки по член 46 от GDPR за приблизително две години след Schrems II

Глобата от 290 милиона евро е най-високата индивидуална глоба в ЕС за нарушения на трансфера на данни и третата най-висока обща глоба GDPR. Той установява, че нарушенията на трансграничния трансфер — не само нарушенията на данните — водят до катастрофални финансови последици.

Приоритетна структура на правоприлагането на холандската AP

Холандската AP получи 21 400+ GDPR жалби през 2023 г., като използва ресурси за правоприлагане съгласно публикувана приоритетна матрица. Трите приоритетни категории:

Приоритет 1 — Наблюдение на служители (43% от случаите на изпълнение): Компаниите със седалище в Холандия са получавали многократно прилагане на AP за наблюдение на служителите: тайно наблюдение, непропорционално наблюдение на имейли и проследяване на геолокация без подходящо предупреждение. Холандското трудово законодателство (Arbeidstijdenwet) предоставя допълнителна защита извън GDPR.

Приоритет 2 — Трансгранично предаване на данни (31% от делата за изпълнение): След съвместното разследване на Uber и холандската AP с ирландския DPC относно Cloudflare (2023 г.), AP увеличи фокуса си върху съответствието на трансфера на данни. Концентрацията на технологичния център в Амстердам — особено облачни услуги, финтех и мащабиране — създава висока експозиция за организациите, прехвърлящи данни към страни извън ЕС.

Приоритет 3 — Маркетинг и поведенческо профилиране (26% от делата за изпълнение): Съгласие за бисквитки, поведенческа реклама и съответствие с директния маркетинг. Насоките на холандската AP относно „легитимния интерес“ за маркетинг са по-строги от някои еквиваленти в ЕС — AP изисква документирани тестове за балансиране с конкретни доказателства, че законният интерес има предимство пред правата на субекта на данни.

Изисквания за трансграничен трансфер Post-Uber

Прилагането на Uber установява практически изисквания за организациите, прехвърлящи лични данни от Нидерландия:

Оценки на въздействието при трансфер (TIA): След Schrems II, EDPB изисква TIAs за всички трансфери към трети страни, като се оценява дали правната защита в страната на местоназначение е „по същество еквивалентна“ на защитата в ЕС. Насоките на холандската AP след Uber изрично посочват, че TIA трябва да оценят:

• Правителствените закони за достъп на страната на местоназначение
• Възможности за разузнаване в страната на местоназначение
• Проследяване на правителствени искания към вносителя на данни
• Налични правни средства за защита на субектите на данни

Стандартни договорни клаузи (SCC) — сами по себе си не са достатъчни: Бележката за прилагане на Uber на AP пояснява, че SCC сами по себе си не отговарят на член 46, където TIA разкрива, че законодателството на страната на местоназначение позволява достъп на правителството до прехвърлените данни. Необходими са допълнителни допълнителни мерки, когато SCC са недостатъчни.

Допълнителни технически мерки, приети от холандската AP:

• Криптиране, при което вносителят на данни не притежава ключове за дешифриране
• Псевдонимизация преди прехвърляне (подмяна на идентификатор), когато повторното идентифициране не е възможно от вносителя на данни
• Минимизиране на данни преди прехвърляне (премахване на категории данни, които не са необходими на вносителя)

Архитектурата на офлайн приложението за настолен компютър — обработка на всички данни локално, без предаване към сървъри — елиминира въпроса за трансграничния трансфер изцяло за тази дейност по обработка.

Данни за служителите и холандско трудово право

Делът на холандската AP от 43% принудително наблюдение на служителите отразява взаимодействието между GDPR и холандското трудово право (Wet bescherming persoonsgegevens arbeidsverhoudingen — законът за защита на данните в трудовите отношения).

Основни холандски изисквания за данните на служителите:

• Консултация с работническия съвет: Холандските организации с работнически съвети (Ondernemingsraad) трябва да се консултират с работническия съвет, преди да внедрят каквато и да е система за наблюдение на служителите. Това включва мониторинг на ефективността на AI, мониторинг на комуникацията и системи за присъствие.
• Оценка на пропорционалност: Мониторингът на служителите трябва да бъде строго пропорционален на заявената цел. Тайното наблюдение обикновено е забранено; откритото наблюдение трябва да бъде най-малко натрапчивият наличен метод.
• Ограничение на обработката: Данните за служителите, събрани за една цел в областта на човешките ресурси, не могат да бъдат преназначени за друга цел в областта на човешките ресурси без ново правно основание.

За организации със седалище в Холандия или наемащи холандски персонал, тези изисквания създават специфични нужди от техническа документация: протокол за консултация на работническия съвет, документ за оценка на пропорционалността и контроли за ограничаване на обработката.

Специфично за Холандия откриване на PII

За инструментите за лична информация, внедрени в Холандия, се изисква откриване на обекти, специфични за Нидерландия:

• Burger Service Nummer (BSN): Холандски национален идентификационен номер (9 цифри) — използва се за данъчни, здравни и социални услуги
• IBAN Холандия (NL префикс): Холандски IBAN формат със специфично валидиране
• Холандски пощенски кодове (пощенски код): Формат: 4 цифри + интервал + 2 букви
• Dutch DigiD: Идентификатор на правителствена система за цифрова идентификация
• **Холандски здравни номера: ** BGZ/EP идентификаторни формати за електронни досиета на пациенти

Стандартните инструменти за глобална лична информация може да открият общи IBAN формати, но може да не потвърдят холандската BSN контролна сума или да открият холандския формат на пощенския код. Организациите, обработващи холандски национални данни за самоличност, трябва да проверят покритието за откриване на BSN.

Подход за съответствие за холандски организации

За организации със седалище в Нидерландия:

1. Одит на трансграничен трансфер:

• Карта на всички потоци от данни от Холандия към трети страни
• Идентифицирайте всички SCC на място и тяхното покритие
• Провеждане или актуализиране на TIA за значителни трансферни потоци
• Документирайте допълнителни технически мерки за трансфери, при които TIA разкрива риск

2. Преглед на наблюдението на служителите:

• Инвентаризация на всички системи за наблюдение на служителите (включително AI инструменти)
• Проверка на записите за консултация на работническия съвет
• Потвърдете, че оценките за пропорционалност са документирани

3. Специфично за Холандия покритие на PII:

• Проверете откриването на BSN в разгърнати инструменти за PII
• Проверете холандския пощенски код и откриването на IBAN
• Тествайте точността на NER на холандски език за документи на холандски език

4. Експозиция на технологичния център в Амстердам:

• За стартиращи фирми и разрастващи се предприятия: документиране на решения за архитектура на данни, които минимизират трансграничния трансфер (облачни услуги в региона на ЕС, опции за локална обработка)
• За доставчици на облачни услуги с архитектура ЕС-САЩ: механизми за прехвърляне на документи и методология на TIA

Източници:

• Холандски AP: Autoriteit Persoonsgegevens
• [Холандска АП: Решение за изпълнение на Uber (август 2024 г.)] (https://www.autoriteitpersoonsgegevens.nl/)
• EDPB: Препоръки 01/2020 относно допълнителни мерки (Schrems II)