A Megfelelőségi Paradoxon
Névtelenítő eszközöket telepítenek a GDPR-megfelelőség érdekében. De ha az eszköz US-alapú SaaS, amely EU személyes adatokat dolgoz fel US szervereken — maga az eszköz is adattovábbítás. Az eszköz hozza létre azt a jogsértést, amelynek megelőzésére telepítették.
Az Uber 290 Millió Eurós Precedense
A Holland AP 2024-ben 290 millió eurós bírsággal sújtotta az Ubért az európai sofőradatok US-szerverekre való átviteléért. A GDPR 46(1) cikke megköveteli az ÁSZF-eket vagy más biztosítékokat az EU személyes adatok harmadik országba való továbbításához.
Minden névtelenítő eszköz, amely EU személyes adatokat fogad US szerverein, adattovábbítást valósít meg — a névtelenítési szándéktól függetlenül.
A Nullaismeret Megoldás
Nullaismeret-architektúra: A PII-észlelés és -csere a felhasználó böngészőjében zajlik. Csak a névtelenített kimenet kerül a szerverre.
Az anonym.legal nullaismeret-architektúrát alkalmaz:
- A szöveg feldolgozása ügyféloldalon történik
- A szerver soha nem látja az eredeti személyes adatot
- Nincs EU-US adattovábbítási elemzés szükséges
A GDPR 30. cikk ROPA dokumentációban: "nullaismeret-elvű névtelenítő eszköz — nincs határon átnyúló adattovábbítás."
Forrás: