anonym.legal

By · Last updated 2026-06-05

Πίσω στο BlogGDPR & Συμμόρφωση

Autoriteit Persoonsgegevens: Πρόστιμο €290 εκ. κατά Uber

Η ολλανδική Αρχή Προστασίας Δεδομένων επέβαλε το μεγαλύτερο ατομικό πρόστιμο ΕΕ για παράνομη μεταφορά δεδομένων — €290 εκ. κατά Uber το 2024. Ακολουθεί τι απαιτεί η συμμόρφωση στις διεθνείς μεταφορές.

June 5, 20267 λεπτά ανάγνωσης
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Η ολλανδική αρχή και το πρόστιμο στην Uber

Τον Αύγουστο 2024, η ολλανδική Autoriteit Persoonsgegevens (AP) επέβαλε πρόστιμο €290 εκατομμυρίων στην Uber. Η Uber είχε μεταφέρει δεδομένα ευρωπαίων οδηγών σε αμερικανικούς διακομιστές χωρίς νομική βάση. Τα δεδομένα περιλάμβαναν άδειες ταξί, ποινικά μητρώα, ιατρικά αρχεία και αρχεία ταξιδίων.

Η Uber συνέχισε αυτές τις μεταφορές μετά την ακύρωση του Privacy Shield ΕΕ-ΗΠΑ από την απόφαση Schrems II τον Ιούλιο 2020, για περίπου δύο χρόνια. Χωρίς Τυπικές Συμβατικές Ρήτρες. Χωρίς κανένα μηχανισμό βάσει Άρθρου 46.

Αυτό είναι το μεγαλύτερο πρόστιμο ΕΕ που έχει επιβληθεί ποτέ για παραβίαση σχετική με μεταφορές δεδομένων, το τρίτο μεγαλύτερο στην ιστορία του GDPR. Οι παράνομες μεταφορές συνεπάγονται πλέον τεράστια κόστη — όχι μόνο οι παραβιάσεις δεδομένων καθεαυτές.

Συμβουλευτείτε τον οδηγό συμμόρφωσης GDPR μας για γρήγορη επισκόπηση.

Προτεραιότητες επιβολής της AP

Το 2023 η AP έλαβε πάνω από 21.400 καταγγελίες. Επικεντρώνεται σε τρεις κύριους τομείς.

Προτεραιότητα 1 — Παρακολούθηση εργαζομένων (43% των υποθέσεων): Πολλές εταιρείες στις Κάτω Χώρες έχουν λάβει κυρώσεις από την AP για παρακολούθηση εργαζομένων. Κρυφές κάμερες, μαζικός έλεγχος email και παρακολούθηση GPS χωρίς ειδοποίηση ενεργοποιούν την παρέμβαση της αρχής. Το ολλανδικό εργατικό δίκαιο προσθέτει πρόσθετους κανόνες στο GDPR.

Προτεραιότητα 2 — Διεθνείς μεταφορές (31% των υποθέσεων): Μετά το πρόστιμο στην Uber και κοινή έρευνα με την ιρλανδική DPC για το Cloudflare (2023), η AP εντατικοποίησε την εποπτεία των μεταφορών. Ο τεχνολογικός τομέας του Άμστερνταμ είναι ιδιαίτερα εκτεθειμένος: εταιρείες cloud, fintech και ταχέως αναπτυσσόμενα startups εμπίπτουν όλα στο πεδίο εφαρμογής.

Προτεραιότητα 3 — Μάρκετινγκ και κατάρτιση προφίλ (26% των υποθέσεων): Αυτός ο τομέας καλύπτει συγκατάθεση cookies, στοχευμένη διαφήμιση και άμεσο μάρκετινγκ. Η AP υιοθετεί αυστηρή ερμηνεία του «εννόμου συμφέροντος», απαιτώντας τεκμηριωμένες δοκιμές με συγκεκριμένα αποδεικτικά στοιχεία.

Κανόνες μεταφορών μετά την Uber

Transfer Impact Assessment (TIA): Το EDPB απαιτεί TIA για κάθε μεταφορά σε τρίτη χώρα. Το TIA πρέπει να αποδεικνύει ότι η χώρα προορισμού παρέχει ισοδύναμη προστασία με το ευρωπαϊκό δίκαιο. Σύμφωνα με την AP, ένα TIA πρέπει να απαντά σε τέσσερα ερωτήματα:

  • Ποιοι νόμοι πρόσβασης σε δεδομένα ισχύουν στη χώρα προορισμού;
  • Ποια είναι η έκταση των εξουσιών των υπηρεσιών πληροφοριών;
  • Ποιο είναι το ιστορικό κυβερνητικών αιτημάτων προς τον εισαγωγέα δεδομένων;
  • Ποια μέσα έννομης προστασίας διατίθενται στα υποκείμενα δεδομένων;

Οι Τυπικές Συμβατικές Ρήτρες από μόνες τους δεν αρκούν: Οι SCC δεν ικανοποιούν αυτόνομα τις απαιτήσεις του Άρθρου 46. Αν το TIA εντοπίσει κινδύνους κυβερνητικής πρόσβασης, απαιτούνται πρόσθετα προστατευτικά μέτρα.

Πρόσθετα τεχνικά μέτρα αποδεκτά από την AP:

  • Κρυπτογράφηση όπου ο εισαγωγέας δεδομένων δεν έχει πρόσβαση στα κλειδιά αποκρυπτογράφησης
  • Αφαίρεση άμεσων αναγνωριστικών πριν τη μεταφορά, ώστε ο εισαγωγέας να μην μπορεί να συνδέσει τα δεδομένα με ένα άτομο
  • Μείωση δεδομένων πριν τη μεταφορά, με αφαίρεση πεδίων που δεν είναι απαραίτητα για τον εισαγωγέα

Η εφαρμογή επιτραπέζιου υπολογιστή offline επεξεργάζεται τα πάντα στη συσκευή σας χωρίς να αποστέλλει δεδομένα εξωτερικά. Αυτό εξαλείφει το ζήτημα μεταφορών για τέτοιες δραστηριότητες. Συμβουλευτείτε την επισκόπηση ασφάλειας και συμμόρφωσης μας.

Δεδομένα εργαζομένων και ολλανδικό εργατικό δίκαιο

Το 43% των υποθέσεων της AP που αφορά παρακολούθηση εργαζομένων δείχνει πόσο αλληλεπικαλύπτονται GDPR και ολλανδικό εργατικό δίκαιο.

Τρεις κανόνες ισχύουν για οργανισμούς με έδρα στις Κάτω Χώρες:

Έγκριση εργατικού συμβουλίου: Εταιρείες με ondernemingsraad πρέπει να λαμβάνουν έγκρισή του πριν εισαγάγουν οποιοδήποτε εργαλείο παρακολούθησης, συμπεριλαμβανομένων συστημάτων ΤΝ, ελέγχου email και συστημάτων καταγραφής παρουσιών.

Αναλογικότητα: Η παρακολούθηση πρέπει να αντιστοιχεί στον δηλωμένο σκοπό. Η μυστική παρακολούθηση δεν επιτρέπεται. Η φανερή παρακολούθηση πρέπει να είναι η λιγότερο παρεμβατική επιλογή.

Περιορισμός σκοπού: Τα δεδομένα HR που συλλέγονται για έναν σκοπό δεν μπορούν να χρησιμοποιηθούν για άλλον. Απαιτείται νέα νομική βάση.

Αυτοί οι κανόνες απαιτούν τρεις τύπους εγγράφων: έγκριση συμβουλίου, έλεγχο αναλογικότητας και εφαρμοσμένους ελέγχους. Το checklist συμμόρφωσης μας καλύπτει και τα τρία.

Ανίχνευση PII στις Κάτω Χώρες

Τα εργαλεία PII στις Κάτω Χώρες πρέπει να αναγνωρίζουν τοπικές μορφές αναγνωριστικών. Τα γενικά εργαλεία συχνά αποτυγχάνουν:

  • BSN (Burger Service Nummer): Ολλανδικός εθνικός αριθμός ταυτότητας 9 ψηφίων — απαιτεί επικύρωση αθροίσματος ελέγχου
  • IBAN (πρόθεμα NL): Ολλανδικό IBAN με ιδιαίτερη λογική επικύρωσης
  • Ταχυδρομικός κωδικός (postcode): Μορφή 4 ψηφία + κενό + 2 γράμματα
  • DigiD: Κυβερνητικός κωδικός ψηφιακής ταυτότητας
  • Αριθμοί υγείας: Μορφές BGZ και EP για δεδομένα ασθενών

Ένα γενικό εργαλείο μπορεί να ανιχνεύει IBAN αλλά να αποτυγχάνει να επικυρώσει το άθροισμα ελέγχου BSN ή τη μορφή ταχυδρομικού κώδικα. Πριν επεξεργαστείτε δεδομένα εθνικής ταυτότητας, εκτελέστε ειδικές δοκιμές για ανίχνευση BSN. Μην παραδεχτείτε κάλυψη ως δεδομένο.

Πρακτικά βήματα για ολλανδικούς οργανισμούς

1. Έλεγχος μεταφορών: Καταγράψτε όλες τις ροές δεδομένων σε τρίτες χώρες. Επαληθεύστε τις SCC που χρησιμοποιείτε. Εκπονήστε TIA για τις κύριες ροές. Τεκμηριώστε πρόσθετα τεχνικά μέτρα όπου ένα TIA αναδεικνύει κινδύνους.

2. Επανεξέταση παρακολούθησης εργαζομένων: Καταγράψτε όλα τα εργαλεία παρακολούθησης, συμπεριλαμβανομένων εκείνων βάσει ΤΝ. Επαληθεύστε την ύπαρξη πρακτικών έγκρισης εργατικού συμβουλίου. Επιβεβαιώστε γραπτώς τους ελέγχους αναλογικότητας.

3. Επαλήθευση κάλυψης PII: Δοκιμάστε την ανίχνευση BSN, ταχυδρομικών κωδίκων και IBAN στα εργαλεία PII που χρησιμοποιείτε. Δοκιμάστε την ακρίβεια σε έγγραφα στην ολλανδική γλώσσα.

4. Έκθεση τεχνολογικού τομέα: Τα startups θα πρέπει να τεκμηριώνουν επιλογές που μειώνουν τον κίνδυνο μεταφορών — cloud σε περιοχή ΕΕ και επιλογές τοπικής επεξεργασίας. Οι πάροχοι cloud με διαμορφώσεις ΕΕ-ΗΠΑ θα πρέπει να τεκμηριώνουν τα εργαλεία μεταφορών και την προσέγγισή τους στα TIA.

Το anonym.legal χρησιμοποιεί ευρωπαϊκά κέντρα δεδομένων Hetzner με αρχιτεκτονική zero-knowledge. Ο διακομιστής δεν βλέπει ποτέ το περιεχόμενο σε καθαρό κείμενο. Μια πλήρης παραβίαση διακομιστή παράγει μόνο κρυπτογραφημένο κείμενο AES-256-GCM. Χρειάζεστε επεξεργασία αποκλειστικά τοπικά; Η εφαρμογή επιτραπέζιου υπολογιστή λειτουργεί εξ ολοκλήρου στη συσκευή σας χωρίς εξωτερικές συνδέσεις.

Πηγές

Σχετικά Άρθρα

GDPR & Συμμόρφωση

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Συμμόρφωση

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Συμμόρφωση

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Έτοιμοι να προστατεύσετε τα δεδομένα σας;

Ξεκινήστε την ανωνυμοποίηση PII με 285+ τύπους οντοτήτων σε 48 γλώσσες.

Ξεκινήστε Δωρεάν ΔοκιμήΔείτε Χαρακτηριστικά

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.