anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogGDPR & Conformitate

AP Olanda: Amenda Uber de €290M și transferurile de date

AP olandeză a emis cea mai mare amendă individuală pentru transferul de date din UE — €290M împotriva Uber în 2024. Iată ce impune conformitatea transferurilor transfrontaliere.

June 5, 20267 min citire
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

AP Olandeză și amenda Uber

În august 2024, AP olandeză a amendat Uber cu €290 milioane. Uber a transferat datele șoferilor din UE pe servere din SUA fără niciun temei juridic. Aceste date includeau licențe de taxi, verificări penale, dosare medicale și jurnale de deplasare.

Uber a mutat datele după ce Schrems II a desființat EU-US Privacy Shield în iulie 2020. A continuat aceste transferuri timp de doi ani. Fără Clauze Contractuale Standard. Fără niciun instrument conform Articolului 46.

Această amendă este cea mai mare din UE pentru o breșă de transfer de date. Se clasează pe locul trei dintre toate amenzile GDPR din toate timpurile. Eșecurile de transfer implică acum costuri uriașe. Nu doar breșele.

Consultați ghidul nostru de conformitate GDPR pentru o prezentare rapidă.

Prioritățile de aplicare ale AP

AP olandeză a primit peste 21.400 de plângeri în 2023. Se concentrează pe trei domenii.

Prioritatea 1 — Monitorizarea lucrătorilor (43% din cazuri): Numeroase firme din Olanda s-au confruntat cu amenzi AP pentru supravegherea personalului. Camerele ascunse, verificările masive ale e-mailurilor și urmărirea GPS fără notificare declanșează acțiuni. Legislația muncii olandeză adaugă reguli suplimentare față de GDPR.

Prioritatea 2 — Transferuri transfrontaliere (31% din cazuri): După amenda Uber și o anchetă comună cu DPC-ul Irlandei privind Cloudflare (2023), AP a intensificat supravegherea transferurilor. Sectorul tech din Amsterdam face față unui risc ridicat în acest sens. Firmele cloud, fintech și startup-urile cu creștere rapidă sunt toate în domeniu de aplicare.

Prioritatea 3 — Marketing și profilare (26% din cazuri): Acestea acoperă consimțământul la cookie-uri, targetarea publicitară și marketingul direct. AP adoptă o viziune strictă față de „interesul legitim”. Impune teste scrise cu dovezi clare.

Regulile de transfer după Uber

Evaluările impactului transferului (TIA): EDPB impune un TIA pentru fiecare transfer într-o țară terță. TIA trebuie să arate că destinația oferă protecție echivalentă cu legislația UE. AP afirmă că un TIA trebuie să răspundă la patru întrebări:

  • Care sunt legile de acces la date din țara de destinație?
  • Cât de departe se poate extinde accesul agențiilor de informații?
  • Care este istoricul cererilor guvernamentale adresate importatorului de date?
  • Ce căi de atac juridice pot folosi persoanele vizate?

Clauzele Contractuale Standard — nu suficiente singure: CCS singure nu satisfac Articolul 46. Dacă TIA relevă riscul de acces guvernamental, sunt necesare măsuri de protecție suplimentare.

Măsuri tehnice suplimentare acceptate de AP:

  • Criptare în care importatorul nu are acces la cheile de decriptare
  • Eliminarea identificatorilor direcți înainte de transfer, astfel încât importatorul să nu poată lega datele de o persoană
  • Reducerea datelor înainte de transfer, eliminând câmpurile de care importatorul nu are nevoie

Aplicația Desktop offline rulează toate activitățile pe dispozitivul dumneavoastră. Nu trimite date în exterior. Aceasta elimină problema transferului pentru acea activitate. Consultați prezentarea noastră de securitate și conformitate.

Datele angajaților și legislația muncii olandeze

Concentrarea AP de 43% pe monitorizarea lucrătorilor arată cum se suprapun GDPR și legislația muncii olandeze.

Trei reguli se aplică pentru organizațiile cu sediul în Olanda:

Aprobarea consiliului de muncă: O companie cu un consiliu de muncă trebuie să obțină aprobarea acestuia înainte de a implementa orice instrument de monitorizare. Aceasta acoperă instrumentele IA, verificările e-mailurilor și sistemele de prezență.

Adecvare la scop: Monitorizarea trebuie să corespundă scopului declarat. Monitorizarea ascunsă nu este permisă. Monitorizarea deschisă trebuie să fie opțiunea cea mai puțin invazivă.

Limitarea scopului: Datele HR colectate pentru un scop nu pot fi utilizate pentru altul. Este necesar un nou temei juridic.

Aceste reguli necesită trei înregistrări: aprobarea consiliului, verificarea scopului și controalele. Lista noastră de verificare a conformității acoperă toate trei.

Detectarea PII în Olanda

Instrumentele PII din Olanda trebuie să gestioneze formatele locale de ID. Instrumentele globale standard le ratează adesea:

  • BSN (Burger Service Nummer): ID național olandez din 9 cifre — necesită validare prin sumă de control
  • IBAN (prefix NL): IBAN olandez cu propria logică de validare
  • Cod poștal (postcode): Formatul este 4 cifre + spațiu + 2 litere
  • DigiD: Cod de identitate digitală guvernamentală
  • Numere de sănătate: Formatele BGZ și EP pentru dosarele pacienților

Un instrument generic poate detecta IBAN dar poate rata suma de control BSN sau formatul codului poștal. Testați detectarea BSN înainte de a procesa date de identitate națională. Nu presupuneți acoperirea.

Pași pentru organizațiile din Olanda

1. Auditul transferurilor: Listați toate fluxurile de date către țări terțe. Revizuiți CCS-urile existente. Rulați TIA pentru fluxurile cheie. Înregistrați măsuri tehnice suplimentare acolo unde un TIA indică riscuri.

2. Revizuirea monitorizării lucrătorilor: Listați toate instrumentele de monitorizare, inclusiv cele IA. Verificați înregistrările de aprobare ale consiliului de muncă. Confirmați că verificările de scop există în scris.

3. Verificarea acoperirii PII: Testați detectarea BSN, a codului poștal și IBAN în instrumentele dumneavoastră PII. Testați acuratețea pe documente în limba olandeză.

4. Expunerea sectorului tech: Startup-urile ar trebui să înregistreze alegerile care reduc riscul de transfer — opțiuni cloud în regiunea UE și procesare locală. Furnizorii cloud cu configurații EU-US ar trebui să documenteze instrumentele de transfer și abordarea TIA.

anonym.legal utilizează centrele de date Hetzner din UE cu design zero-knowledge. Serverul nu vede niciodată conținutul dumneavoastră în text simplu. O breșă completă a serverului produce doar text cifrat AES-256-GCM. Aveți nevoie de procesare exclusiv locală? Aplicația Desktop rulează în întregime pe dispozitivul dumneavoastră fără conexiuni externe.

Surse

Articole Asemănătoare

GDPR & Conformitate

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformitate

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformitate

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.