Парадоксът на съответствието
Организациите внедряват инструменти за анонимизиране, за да постигнат съответствие със GDPR. Инструментът е техническата мярка по чл.32, която защитава личните данни от неоторизиран достъп. Предполага се, че инструментът е решението. Но ако инструментът обработва лични данни от ЕС на сървъри извън ЕС, самият инструмент създава нарушението, за което е бил внедрен, за да предотврати.
Глобата на Холандския орган за защита на данните от август 2024 г. от 290 милиона евро срещу Uber — най-голямата глоба за нарушение на прехвърлянето на данни в ЕС по онова време — беше специално за прехвърляне на лични данни на европейски водачи (имена, данни за местоположение, информация за плащане, документи за самоличност) към сървърите на Uber в САЩ без адекватни предпазни мерки по член 46 на GDPR. Прехвърлянето беше систематично и непрекъснато. Констатацията на DPA: Оперативният модел на Uber, който разчиташе на сървърна инфраструктура на САЩ за обработка на данни на водачи от ЕС, беше непрекъснато нарушение на GDPR.
Моделът на Uber се прилага за инструменти за анонимизиране: базиран в САЩ SaaS инструмент, който получава лични данни от ЕС в инфраструктурата на САЩ за обработка, се ангажира със същия тип трансфер, за който холандското DPA санкционира Uber. Целта (анонимизиране, а не управление на пътуването) не променя правния анализ.
Признание на общността на DPO
Професионалната общност на DPO отбелязва този парадокс все по-често след решението Schrems II (2020 г.), което обезсили Щита за поверителност между ЕС и САЩ и установи, че сървърната инфраструктура на САЩ е предполагаемо неадекватна за трансфер на лични данни в ЕС без допълнителни предпазни мерки. Решението Schrems II създаде анализа: за всеки базиран в САЩ инструмент, който получава лични данни от ЕС, организацията трябва да документира правното основание за трансфера.
Кумулативните глоби GDPR достигнаха 5,65 милиарда евро до 2025 г. (GDPR.eu). Нарушенията при трансграничен трансфер сега възлизат средно на 18 милиона евро на принудително действие (DLA Piper 2025). Траекторията на прилагане означава, че парадоксът на съответствието не е теоретично безпокойство — той е довел и ще продължи да произвежда значителни действия за прилагане.
Първата архитектура в ЕС
Решението изисква или базирана в ЕС сървърна инфраструктура за обработката на анонимизиране (данните никога не напускат ЕС), или архитектура с нулево знание (никакви лични данни не достигат до сървъра), или и двете.
Базираният в ЕС хостинг сам по себе си – компания, регистрирана в САЩ, хостваща на сървъри в ЕС – може да не е достатъчен. Анализът на Schrems II се прилага за американски компании, подчинени на законите на САЩ за наблюдение, независимо от местоположението на сървъра: FISA Раздел 702 и Изпълнителна заповед 12333 се прилагат за американски компании и техните дъщерни дружества, което означава, че американска компания майка със сървъри, хоствани в ЕС, може да бъде принудена да предостави достъп до данни, съхранявани на тези сървъри в ЕС.
Архитектурата с нулево знание елиминира безпокойството относно местоположението на сървъра: ако никакви лични данни не достигнат до сървъра, юрисдикцията на сървъра е без значение. Анонимизираните данни, които достигат до сървъра — криптирани токени, маскирани стойности, необратимо трансформирани данни — не са лични данни съгласно GDPR и не подлежат на анализ на трансфера.
Източници: – [DPA на Холандия, август 2024 г.: глоба от 290 милиона евро срещу Uber за нарушение на преноса на данни в ЕС] (https://autoriteitpersoonsgegevens.nl/en)
- [DLA Piper 2025: Трансгранични GDPR нарушения средно 18 млн. евро на принудително действие] (https://www.dlapiper.com/en-us/insights/publications/2025/01/gdpr-fines-and-data-breach-survey-2025)
- GDPR.eu: Кумулативни глоби GDPR достигат 5,65 милиарда евро до 2025 г.