Dutch AP: Казната од €290M против Uber и зошто пренос...

Dutch AP и преседанот на Uber

Холландската Autoriteit Persoonsgegevens (AP) утврди најголем преседан на пренос на податоци во EU во август 2024: казна од €290M против Uber Technologies за неовластен пренос на европски возачи лични податоци на сервери во Соединетите држави.

Действојте на спроведување на Uber вклучи:

• Европски податоци на возач (лиценци за такси, проверки на криминална историја, медицински записи, историја на пътување) складирана на US-базирани сервери
• Пренос на податоци по евалидизирање на EU-US Privacy Shield од страна на Schrems II (јули 2020)
• Континуирање на преносови без имплементирање на Standard Contractual Clauses или други GDPR Член 46 заштити за приблизно две години пост-Schrems II

Казната од €290M е најголемата индивидуална казна на EU за прекршување на пренос на податоци и трета-најголема целина GDPR казна. Таа утврди дека прекршување на пренос на podatoci — не само нарушување на податоци — произведува катастрофални финансиски последици.

Структура на приоритет за спроведување на Dutch AP

Dutch AP прима 21,400+ GDPR жалби во 2023, расправување на ресурси за спроведување според објавена матриц на приоритети. Три категории на приоритети:

Приоритет 1 — надзор над вработени (43% од случаи на спроведување): Компании базирани на Холандија добиле повторени AP спроведување за надзор на вработени: потајна надзор, диспропорционална email надзор и геолокација следење без адекватна известување. Холандскиот закон за работа (Arbeidstijdenwet) обезбедува дополнителна заштита надвор од GDPR.

Приоритет 2 — пренос на податоци преку граници (31% од случаи на спроведување): Следејќи Uber и co-истрагата на Dutch AP со Irish DPC на Cloudflare (2023), AP зголеми фокус на усогласеност на пренос на податоци. Концентрација на Amsterdam технолошки hub — особено облачни услуги, fintech и scale-ups — создава висока експозиција за организации кои пренесуваат податоци на земји од вон EU.

Приоритет 3 — маркетинг и повединска профилирање (26% од случаи на спроведување): Cookie согласност, повединска реклама и директна усогласеност на маркетинг. Водство на Dutch AP за "легитимен интерес" на маркетинг е строже од некои EU еквиваленти — AP бара документирани тестови на рамнотежа со специфичен доказ дека легитимниот интерес ги надминува правата на субјектот на податоци.

Захтеви за пренос преку граници пост-Uber

Spроведување на Uber утврди практични захтеви за организации кои пренесуваат лични податоци од Холандија:

Transfer Impact Assessments (TIAs): Пост-Schrems II, EDPB бара TIAs за сите преносови на трети земји, процена дали правни заштити во земјата за одредище се "по суштина еквивалентни" на EU заштити. Post-Uber водство на Dutch AP прави експлицитна дека TIAs мораат да процени:

• Закони на земјата за одредиште за пристап на владата
• Способности на служба за тајна информатика во земјата за одредиште
• Тек од барања од владата на the data importer
• Достапни правни средства за субјекти на податоци

Standard Contractual Clauses (SCCs) — не доволно само себе: Статусот на спроведување на AP на Uber pojasнува дека SCCs не се задоволуваат Член 46 каде TIA открива дека закон на земја за одредиште овозможува пристап на владата на пренесени податоци. Дополнителни суплементарни мерки се бараат каде SCCs се недостатни.

Суплементарни технички мерки признаени од страна на Dutch AP:

• Енкриптација каде data importer не держи dekrypciski клучеви
• Pseudonymization пред пренос (zamena на идентификаторот) каде data importer нема способност за повторна идентификација
• Минимизација на податоци пред пренос (одстранување на категории на податоци не потребни од страна на data importer)

Архитектура на Desktop App без вмрежа — обработка од сите податоци локално, никогаш пренос на сервери — целосно го елиминира прашањето на пренос преку граници за таа обработка активност.

Податоци за вработени и Холандски закон за работа

Dutch AP-ова дела на надзор на вработени од 43% ја рефлектира интеракцијата помеѓу GDPR и Холандски закон за работа (Wet bescherming persoonsgegevens arbeidsverhoudingen — закон за заштита на podatoci во трудови односи).

Ключни холандски захтеви за вработени датотеки:

• Works council consultation: Холандске организации со works councils (Ondernemingsraad) мораат да консултираат works council пред имплементирање на кој било систем за надзор на вработени. Ова вклучува AI перформанса надзор, комуникација надзор и системи за присуство.
• Procena на пропорционалност: Надзор на вработени мораат да биде строго пропорционален на наведена намена. Потајна надзор е генерално забранета; јавна надзор мораше да биде најмалку значајна метода достапна.
• Ограничување на обработка: Податоци на вработени собрани за една HR намена не може да bide преобработени за друга HR намена без свежа закон основање.

За организации базирани на Холандија или работаат холандски персонал, овие захтеви создаваат специфични технички документација потреби: works council consultation запис, procena на пропорционалност документ и ограничување на обработка контроли.

Холандија-специфичен PII детекција

За PII алатки расправени во Холандија, холандска-специфична единица детекција се бара:

• Burger Service Nummer (BSN): Холандски национален броја за идентификација (9 цифри) — користена за даноци, Healthcare, социјални услуги
• IBAN Холандија (NL префиx): Холандски IBAN формат со специфична валидација
• Холандски поштенски кодови (postcode): Формат: 4 цифри + простор + 2 букви
• Холандски DigiD: Владина систем за дигитална идентификација идентификатор
• Холандски Healthcare броеви: BGZ/EP идентификатор формати за електронски пациентски записи

Стандард глобални PII алатки може да детектираат генерички IBAN формати но може не валидирај Холандски BSN checksum или детектирај Холандски postcode формат. Организации обработување холандски национален идентификација податоци мораат да верифицираат BSN детекција покривање.

Усогласеност пристап за Холандски организации

За Холандија-центрирани организации:

1. Ревизија на пренос преку граници:

• Карта сите податоци текови од Холандија до трети земји
• Идентификувај све SCCs на место и нивното покривање
• Спроведи или ажурирај TIAs за значителни пренос текови
• Документирај суплементарни технички мерки за преносови каде TIA открива ризик

2. Преглед на надзор на вработени:

• Инвентари сите системи за надзор на вработени (вклучувајќи AI алатки)
• Верифицирај works council consultation записи
• Потврди procena на пропорционалност се документирани

3. Холандија-специфичен PII покривање:

• Верифицирај BSN детекција во расправени PII алатки
• Верифицирај Холандски postcode и IBAN детекција
• Тестирај Холандски јазик NER точност за холандски-јазични документи

4. Amsterdam технолошки hub експозиција:

• За startups и scale-ups: документирај архитектура решенија кои минимизираат пренос преку граници (EU-регион облачни услуги, локални обработка опции)
• За облачни service providers со EU-US архитектура: документирај пренос механизми и TIA методологија

Извори:

• Dutch AP: Autoriteit Persoonsgegevens
• Dutch AP: Uber Enforcement Decision (August 2024)
• EDPB: Recommendations 01/2020 on Supplementary Measures (Schrems II)