Dutch AP और Uber जुर्माना
अगस्त 2024 में, Dutch AP ने Uber पर €290 मिलियन का जुर्माना लगाया। Uber ने बिना किसी कानूनी आधार के EU ड्राइवर डेटा को US सर्वर पर भेजा। उस डेटा में टैक्सी लाइसेंस, आपराधिक जाँच, चिकित्सा रिकॉर्ड और यात्रा लॉग शामिल थे।
Uber ने जुलाई 2020 में Schrems II द्वारा EU-US Privacy Shield को रद्द करने के बाद डेटा स्थानांतरित किया और उन हस्तांतरणों को दो साल तक जारी रखा। कोई SCCs नहीं। कोई अनुच्छेद 46 उपकरण नहीं।
यह जुर्माना डेटा हस्तांतरण उल्लंघन के लिए EU का सबसे बड़ा है। हमारी GDPR अनुरूपता गाइड देखें।
AP प्रवर्तन प्राथमिकता क्षेत्र
Dutch AP को 2023 में 21,400 से अधिक शिकायतें मिलीं। यह तीन क्षेत्रों पर ध्यान केंद्रित करता है।
प्राथमिकता 1 — कर्मचारी निगरानी (43%): छिपे कैमरे, थोक ईमेल जाँच और बिना नोटिस GPS ट्रैकिंग सभी कार्रवाई ट्रिगर करते हैं। डच श्रम कानून GDPR के ऊपर अतिरिक्त नियम जोड़ता है।
प्राथमिकता 2 — सीमा पार हस्तांतरण (31%): Uber जुर्माने के बाद AP ने हस्तांतरण निगरानी बढ़ाई। क्लाउड फर्में, फिनटेक और तेजी से बढ़ते स्टार्टअप सभी दायरे में हैं।
प्राथमिकता 3 — मार्केटिंग और प्रोफाइलिंग (26%): AP "वैध हित" का सख्त दृष्टिकोण लेता है और स्पष्ट साक्ष्य के साथ लिखित परीक्षण की आवश्यकता है।
Uber के बाद हस्तांतरण नियम
हस्तांतरण प्रभाव आकलन (TIA): EDPB को हर तृतीय देश हस्तांतरण के लिए TIA की आवश्यकता है। AP के अनुसार TIA को चार प्रश्नों का उत्तर देना होगा:
- गंतव्य देश में एक्सेस कानून क्या हैं?
- जासूसी एजेंसियाँ कितनी दूर तक पहुँच सकती हैं?
- डेटा आयातक को सरकारी अनुरोधों का ट्रैक रिकॉर्ड क्या है?
- डेटा विषय कौन से कानूनी उपाय उपयोग कर सकते हैं?
SCCs अकेले पर्याप्त नहीं: यदि TIA सरकारी एक्सेस जोखिम दिखाती है, तो अतिरिक्त सुरक्षा उपाय आवश्यक हैं।
AP द्वारा स्वीकृत अतिरिक्त तकनीकी उपाय:
- एन्क्रिप्शन जहाँ आयातक के पास डिक्रिप्शन कुंजियाँ नहीं हों
- हस्तांतरण से पहले प्रत्यक्ष ID हटाना
- हस्तांतरण से पहले डेटा कमी
Desktop App सभी काम आपके डिवाइस पर चलाता है — बाहर कोई डेटा नहीं भेजता। हमारा सुरक्षा और अनुपालन अवलोकन देखें।
कर्मचारी डेटा और डच श्रम कानून
नीदरलैंड-आधारित संगठनों के लिए तीन नियम लागू होते हैं:
वर्क्स काउंसिल की मंजूरी: किसी भी निगरानी उपकरण को रोल आउट करने से पहले मंजूरी आवश्यक है।
उद्देश्य के लिए उपयुक्त: छिपी निगरानी की अनुमति नहीं। खुली निगरानी कम दखल देने वाला विकल्प होनी चाहिए।
उद्देश्य सीमा: एक लक्ष्य के लिए एकत्र HR डेटा दूसरे के लिए उपयोग नहीं किया जा सकता। नए कानूनी आधार की आवश्यकता है।
हमारी अनुपालन चेकलिस्ट तीनों को कवर करती है।
नीदरलैंड PII पहचान
PII उपकरणों को स्थानीय ID प्रारूपों को संभालना होगा:
- BSN (Burger Service Nummer): 9-अंकीय डच राष्ट्रीय ID — चेकसम सत्यापन आवश्यक
- IBAN (NL prefix): अपने सत्यापन तर्क के साथ डच IBAN
- Postcode: प्रारूप 4 अंक + स्थान + 2 अक्षर
- DigiD: सरकारी डिजिटल पहचान कोड
- Healthcare numbers: रोगी रिकॉर्ड के लिए BGZ और EP प्रारूप
राष्ट्रीय पहचान डेटा प्रोसेस करने से पहले BSN पहचान का परीक्षण करें।
नीदरलैंड संगठनों के लिए कदम
- हस्तांतरण ऑडिट: सभी तृतीय देश डेटा प्रवाह सूचीबद्ध करें, SCCs समीक्षा करें, TIA चलाएँ
- कर्मचारी निगरानी समीक्षा: वर्क्स काउंसिल मंजूरी रिकॉर्ड जाँचें
- PII कवरेज जाँच: BSN, पोस्टकोड और IBAN पहचान परीक्षण करें
- तकनीकी क्षेत्र एक्सपोज़र: EU-क्षेत्र क्लाउड और स्थानीय प्रसंस्करण विकल्प रिकॉर्ड करें
anonym.legal जीरो-नॉलेज डिज़ाइन के साथ EU-आधारित Hetzner डेटा सेंटर का उपयोग करता है। Desktop App पूरी तरह आपके डिवाइस पर बिना बाहरी कनेक्शन के चलता है।