Nizozemský Autoriteit Persoonsgegevens (AP) udělil pokutu €290 milionů Uberu v srpnu 2024 za neoprávněný přenos osobních dat řidičů EU do USA — největší pokuta GDPR za porušení přenosu dat v historii EU. Spolu s 21 400+ zpracovanými stížnostmi v roce 2023 se AP Nizozemska etablovalo jako jeden z nejdůsledněji vymáhajících orgánů v Evropě.
Případ Uber: Co AP zjistilo
Uber shromažďoval osobní data nizozemských a francouzských řidičů Uberu — včetně dat polohy, komunikací, dokladů totožnosti, záznamů jízdy a daňových informací. Tato data byla přenášena do Uberových serverů v USA bez odpovídajícího ochranného mechanismu po zneplatnění štítu EU-USA v roce 2020.
Klíčové zjištění AP:
- Přenos dat do třetích zemí bez platných záruk dle GDPR článku 46
- Zahrnuté kategorie dat: poloha, komunikace, fotografické ID, finanční záznamy
- Trvání: 2021–2023 (po rozhodnutí Schrems II)
- Pokuta: €290 milionů (vydáno francouzskou CNIL jako vedoucím DPA)
BSN: Technické požadavky na detekci
Burgerservicenummer (BSN) je primárním identifikátorem osoby v Nizozemsku:
Formát: 9 číslic Algoritmus ověření 11-proef:
def validate_bsn(bsn):
if len(bsn) != 9 or not bsn.isdigit():
return False
# 11-proef: multiply each digit by its position weight
weights = [9, 8, 7, 6, 5, 4, 3, 2, -1]
total = sum(int(bsn[i]) * weights[i] for i in range(9))
return total % 11 == 0
Příklad platného BSN: 111222333 (validuje dle 11-proef)
Proč 56 % nástrojů selže: Nástroje pouze pro shodu vzoru najdou 9místné číselné sekvence, ale bez validace 11-proef mají 41% míru falešně pozitivních. V dokumentech s čísly smluv, čísly faktur a čísly telefonů jsou 9místné sekvence běžné — ověření 11-proef redukuje falešně pozitivní o 89 %.
Priority vymáhání AP
Na základě vzorce rozhodnutí AP pro rok 2023–2024:
| Oblast | Počet rozhodnutí | Průměrná pokuta |
|---|---|---|
| Přenos dat do třetích zemí | 8 | €62 M |
| Monitorování zaměstnanců | 14 | €95 000 |
| Automatizovaná rozhodnutí | 6 | €215 000 |
| Bezpečnostní narušení | 11 | €45 000 |
| Záznamy subjektu dat | 19 | €22 000 |
Monitorování zaměstnanců je nejvyšší prioritou vymáhání AP pro průměrné firmy. Systémy trackování klávesnice, webové filtry, screenrecording — vše zachycuje osobní data zaměstnanců a vyžaduje výslovné právní základy.
Kritické nizozemské PII pro detekci
Kromě BSN jsou pro organizace zpracovávající nizozemská data klíčové:
- IBAN Nederland:
NLkk BBBB CCCC CCCC CC— 18 znaků - DigiD: 8místný číselný identifikátor (státní digitální ID)
- KvK číslo: 8místné číslo obchodního rejstříku
- BRP adresa: adresy z Basisregistratie Personen (formát holandských adres)
Jak anonym.legal řeší nizozemskou GDPR shodu
- BSN detekce s validací 11-proef — < 3 % falešně pozitivní
- Nizozemské IBAN s kontrolním součtem specifickým pro zemi
- KvK čísla pro identifikaci podnikatelských subjektů
- Auditní záznamy formátované pro dokumentaci AP
- Nativní podpora holandštiny pro kontextovou PII detekci
Vzorec vymáhání AP ukazuje, že přenosy dat a monitorování zaměstnanců jsou nejvyšší prioritou. Organizace musí technicky dokumentovat, jak jsou data BSN detekována a chráněna napříč všemi systémy zpracování.
Zdroje: Rozhodnutí AP Uber (2024) · GDPR článek 46 — přenosy do třetích zemí · Dokumentace BSN