Vastavuse paradoks
Organisatsioonid juurutavad anonüümimise tööriistasid GDPR vastavuse saavutamiseks. Tööriist on artikli 32 alusel olevad tehnilised meetmed, mis kaitsvad isikuandmeid volitamata juurdepääsu eest. Tööriist on olema lahendus. Kuid kui tööriist töötleb EL isikuandmeid ELst väliste serverite alusel, tööriist ise loob rikkumise, mida see oli juurutatud vältimiseks.
Hollandise andmekaitseameti augustis 2024 tehtud 290 miljoni euro suurune trahv Uberile - suurim EL andmete ülekande rikkumise trahv kunagi sel hetkel - oli spetsiaalselt Euroopa juhi isikuandmete (nimed, asukohta andmeid, maksete teave, isikutunnistuse dokumendid) edastamiseks Uberi USA serveritele ilma piisavate GDPR artikli 46 kaitseta. Ülekanne oli süstemaatiline ja jätkuv. DPA leiud: Uberi töömudel, mis tugines USA serveri infrastruktuurile EL juhi andmete töötlemiseks, oli pidev GDPR rikkumine.
Uberi muster rakendub anonüümimise tööriistadele: USA-põhine SaaS tööriist, mis saab EL isikuandmeid USA infrastruktuuril töötlemiseks, tegeleb samalaadse ülekandega, mille eest Hollandise DPA Uberit karistus. Eesmärk (anonüümimise asemel sõidujuhtimise) ei muuda juriidilist analüüsi.
DPO kogukonna tunnustamine
DPO erialane kogukond on märkimuseid pakkudes selle paradoksiga järgmise sagedusega alates Schrems II otsusest (2020), mis tühistas EL-USA privaatsuskilbi ja kehtestas, et USA serverite infrastruktuur on eelduslikult puudulkad EL...