Η Uber-GDPR Υπόθεση
Αυγούστου 2024, η Autoriteit Persoonsgegevens (AP) επέβαλε €290 εκατομμύρια στην Uber Technologies Inc. για:
- Μεταφορά ευαίσθητων δεδομένων οδηγών ΕΕ (ταξιδιωτικά αρχεία, τοποθεσία, ποινικά μητρώα) στις ΗΠΑ χωρίς κατάλληλες διασφαλίσεις
- Χρήση SCCs (Τυποποιημένες Συμβατικές Ρήτρες) χωρίς Transfer Impact Assessment
- Διάρκεια παραβίασης: 2+ χρόνια μετά Schrems II
Γιατί Αποτυγχάνουν οι SCCs χωρίς TIA
Μετά Schrems II (C-311/18), οι SCC δεν αρκούν μόνες τους:
- Εταιρεία πρέπει να αξιολογεί τη νομοθεσία κάθε χώρας λήψης
- Εάν η χώρα επιτρέπει κυβερνητική πρόσβαση (π.χ., US CLOUD Act, FISA 702) → SCCs δεν είναι επαρκείς
Τεχνικά Μέτρα Αντί SCCs
Zero-knowledge architecture:
- Δεδομένα οδηγών κρυπτογραφούνται στην ΕΕ
- Κλειδί παραμένει σε ΕΕ servers
- US servers λαμβάνουν μόνο κρυπτογραφημένα blobs
- CLOUD Act επεμβαίνει: US λαμβάνει κρυπτογραφημένα δεδομένα — άχρηστα χωρίς κλειδί
Data localization:
- ΕΕ οδηγοί → ΕΕ servers → ΕΕ επεξεργασία
- Μόνο aggregate statistics μεταφέρονται globally
Πηγές: