Pokuta holandského úřadu pro ochranu dat €290 milionů na Uber v srpnu 2024 was specificky za přenos osobních dat evropských řidičů — bankovní detaily, daňová registrace, poloha — na servery v USA bez adekvátního přenosového mechanismu. DPC Uber odůvodnění: nezajistil Standard Contractual Clauses (SCC) pro přenosy dat EU-US po zrušení Privacy Shield.
Ironie pro mnoho organizací: jejich GDPR nástroj pro dodržování předpisů vytváří přesně tento typ přestupu.
Anonymizační nástroj jako přesunová osoba
Pracovní postup typické organizace zpracovávající zákaznická data EU s US-based SaaS anonymizačním nástrojem:
- Zákazník EU odesílá zákaznickou požadavku servisní formulář (obsahující jméno, e-mail, adresu, číslo objednávky)
- Zákaznická servisní platforma odešle interakci na anonymizační SaaS API pro maskování PII
- Anonymizační SaaS — běžící na US serverech — přijímá zákaznická data EU ke zpracování
- Anonymizované data jsou vráceny
- Zákaznická servisní platforma přijme anonymizovaná data
Krok 3 je přesun dat EU do USA. Zákazník EU nikdy nesouhlasil, aby jejich zákaznická data procházela US anonymizačním serverem. Organizace nezajistila SCC nebo jiný mechanismus GDPR přenosu pro tento krok anonymizačního zpracování.
Výsledek: anonymizační nástroj, nainstalovaný pro GDPR soulad, vytváří GDPR přestupek přenosu, který neexistoval před instalací nástroje.
Proč most organizací o tom neví
Analýza přenosu dat se typicky zaměřuje na primární toky dat — kde jsou zákaznická data uložena, kdo má přístup. Anonymizační API volání jsou sekundárním zpracovávajícím krokem, ne primárním tokem dat, a jsou snadno přehlédnuty při mapování dat ROPA.
Druhý důvod: SaaS dodavatelé s US zpracováním obvykle vyžadují standardní DPA (smlouvy o zpracování dat) jako součást podmínek služeb. Ale DPA sám nestačí pro přenosy dat EU-US — požadujete DPA plus SCC (Standard Contractual Clauses) nebo jiný přenosový mechanismus.
Architekturální řešení
Tři přístupy k eliminaci paradoxu anonymizačního nástroje:
Přístup 1: EU-based SaaS zpracování Vyberte anonymizační SaaS, jehož zpracování je výlučně v EU datových centrech. Data zákazníků EU opouštějí EU pouze pro anonymizované výstupy.
Přístup 2: Architektura zero-knowledge Vyberte anonymizační nástroj, kde detekce PII probíhá na straně klienta — v prohlížeči nebo lokální aplikaci — a server nikdy neopustí anonymizovaná data, nikoli surová PII data. Zero-knowledge architektura eliminuje přestup přenosu dat: server přijímá anonymizovaná data, ne osobní data EU.
Přístup 3: Self-hosting Nasaďte Presidio nebo ekvivalent na EU infrastruktuře spravované vaší organizací. Žádná třetí strana nezpracovává zákaznická data EU — kompletní řetězec zpracování zůstává pod kontrolou subjektu EU.
Zdroje: