anonym.legal

By · Last updated 2026-06-05

Назад на блоготGDPR & Усогласеност

Холандски AP: Казна за Uber од €290M и пренесувања

Холандскиот AP издаде најголемата индивидуална казна во ЕУ за пренесување на податоци — €290M против Uber во 2024. Еве што бара усогласеноста со прекуграничните пренесувања.

June 5, 20267 мин читање
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Холандскиот AP и Казната за Uber

Во август 2024, холандскиот AP му изрече казна на Uber €290 милиони. Uber испраќаше податоци на ЕУ возачи на сервери во САД без правна основа. Тие податоци вклучуваа возачки дозволи, проверки на криминален досие, медицински записи и дневници на патувања.

Uber ги преместил податоците по тоа што Schrems II го укина штитот EU-US Privacy Shield во јули 2020. Тие пренесувања ги одржуваше уште две години. Без Стандардни договорни клаузули. Без никаква алатка од Член 46.

Оваа казна е најголемата во ЕУ за прекршување на пренесување на податоци. Се рангира на трето место меѓу сите казни по GDPR досега. Неуспесите во пренесувањето сега носат огромни трошоци. Не само прекршувања.

Видете го нашиот водич за усогласеност со GDPR за брз преглед.

Приоритетни Области на Спроведување на AP

Холандскиот AP прими над 21.400 жалби во 2023. Се фокусира на три области.

Приоритет 1 — Следење на работниците (43% од случаите): Многу холандски фирми добија казни од AP за набљудување на своиот персонал. Скриени камери, масовни проверки на е-пошта и GPS следење без известување — сè предизвикува реакција. Холандското работничко право додава дополнителни правила на врвот на GDPR.

Приоритет 2 — Прекугранични пренесувања (31% од случаите): По казната за Uber и заедничката истрага со ирскиот DPC на Cloudflare (2023), AP го засили надзорот на пренесувањата. Технолошкиот сектор во Амстердам тука е со висок ризик. Облак фирмите, финтек и брзорастечките стартапи се сите во опсег.

Приоритет 3 — Маркетинг и профилирање (26% од случаите): Ова ги покрива согласноста за колачиња, насочување на реклами и директен маркетинг. AP зазема строг став кон "легитимниот интерес". Бара пишани тестови со јасни докази.

Правила за Пренесување По Uber

Проценки на влијанието врз пренесувањето (TIA): EDBP бара TIA за секое пренесување во трета земја. TIA мора да покаже дека дестинацијата дава заштита еднаква на законот на ЕУ. AP вели дека TIA мора да одговори на четири прашања:

  • Кои се законите за пристап во земјата на дестинацијата?
  • Колку далеку можат да стигнат разузнавачките агенции?
  • Каква е историјата на барањата на владата до увозникот на податоци?
  • Кои правни лекови можат да ги користат субјектите на податоците?

Стандардни договорни клаузули — сами по себе не се доволни: SCC сами по себе не го задоволуваат Член 46. Ако TIA покаже ризик од владин пристап, потребни се дополнителни заштитни мерки.

Дополнителни технички мерки кои AP ги прифаќа:

  • Енкрипција каде увозникот нема пристап до клучевите за дешифрирање
  • Отстранување на директни идентификатори пред пренесувањето за да не може увозникот да ги поврзе податоците со лице
  • Намалување на податоците пред пренесувањето, отстранување на полиња кои увозникот не ги потребува

Десктоп апликацијата целата работа ја извршува на вашиот уред. Не испраќа никакви податоци надвор. Ова го отстранува проблемот со пренесувањата за таа активност. Видете го нашиот преглед на безбедност и усогласеност.

Податоци за Вработени и Холандско Работничко Право

Фокусот на AP од 43% на следење на работниците покажува како GDPR и холандското работничко право се преклопуваат.

Три правила важат за организациите базирани во Холандија:

Одобрение на работничкиот совет: Компанијата со работнички совет мора да добие негово одобрение пред да воведе каква и да е алатка за следење. Ова ги покрива алатките за ВИ, проверките на е-пошта и системите за присуство.

Соодветност за целта: Следењето мора да одговара на наведената цел. Скриеното следење не е дозволено. Отвореното следење мора да биде опцијата со најмало навлегување.

Ограничување на целта: Податоците за човечки ресурси собрани за една цел не можат да се користат за друга. Потребна е нова правна основа.

Овие правила бараат три записи: одобрението на советот, проверката на целта и контролите. Нашата листа за проверка на усогласеноста ги покрива сите три.

Откривање на PII во Холандија

Алатките за PII во Холандија мора да ракуваат со локални ID формати. Стандардните глобални алатки честопати ги пропуштаат:

  • BSN (Burger Service Nummer): 9-цифрен холандски национален идентификатор — бара валидација на контролна сума
  • IBAN (NL префикс): Холандски IBAN со сопствена логика за валидација
  • Поштенски код (postcode): Форматот е 4 цифри + интервал + 2 букви
  • DigiD: Владин код за дигитален идентитет
  • Здравствени броеви: BGZ и EP формати за записи на пациенти

Генеричка алатка може да го фати IBAN но да ја пропушти контролната сума на BSN или форматот на поштенскиот код. Тестирајте го откривањето на BSN пред да обработувате податоци за национален идентитет. Не претпоставувајте покриеност.

Чекори за Холандски Организации

1. Ревизија на пренесувања: Наведете ги сите текови на податоци до трети земји. Прегледајте ги постоечките SCC. Спроведете TIA за клучни текови. Евидентирајте дополнителни технички мерки каде TIA укажува на ризик.

2. Преглед на следење на работниците: Наведете ги сите алатки за следење, вклучително ВИ. Проверете ги записите за одобрение на работничкиот совет. Потврдете дека постојат проверки на целта во пишана форма.

3. Проверка на покриеност на PII: Тестирајте го откривањето на BSN, поштенскиот код и IBAN во вашите алатки за PII. Тестирајте ја точноста на документи на холандски јазик.

4. Изложеност на технолошкиот сектор: Стартапите треба да евидентираат избори кои го намалуваат ризикот од пренесување — облак во регионот ЕУ и опции за локална обработка. Давателите на облак услуги со поставки во ЕУ-САД треба да ги документираат своите алатки за пренесување и пристапот кон TIA.

anonym.legal користи центри за податоци на Hetzner базирани во ЕУ со дизајн без знаење. Серверот никогаш не го гледа вашиот текст во обична форма. Целосно прекршување на серверот дава само шифриран текст AES-256-GCM. Потребна ви е локална обработка? Десктоп апликацијата работи целосно на вашиот уред без надворешни врски.

Извори

Поврзани статии

GDPR & Усогласеност

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Усогласеност

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Усогласеност

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Подготвени да ги заштитите вашите податоци?

Започнете со анонимизација на PII со 285+ типови на ентитети на 48 јазици.

Започнете бесплатен пробен периодПогледнете ги карактеристиките

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.