Нидерландское Autoriteit Persoonsgegevens (AP) выписало штраф в размере €290 млн против Uber в августе 2024 года за несанкционированную передачу персональных данных водителей из ЕС в США — крупнейший в истории GDPR штраф за нарушение механизма передачи данных. В совокупности с более чем 21 400 рассмотренными жалобами в 2023 году нидерландская AP утвердилась как один из наиболее значимых правоприменительных органов Европы.
Штраф Uber: что установила AP
Uber собирала персональные данные нидерландских и французских водителей — включая геолокационные данные, переписку, удостоверяющие личность документы, водительские записи и налоговые сведения. Эти данные передавались на американские серверы Uber без надлежащих механизмов передачи.
Ключевые выводы:
- Неадекватный механизм передачи: Uber использовал Обязательные корпоративные правила (BCR), признанные AP недостаточными для объёма и чувствительности передаваемых персональных данных водителей
- Отсутствие оценки воздействия передачи (TIA): Uber не провёл TIA, демонстрирующей, что законодательство США не подрывает защитные меры при передаче
- Данные водителей являются чувствительными: Геолокационные данные, данные о заработке и рейтинге эффективности — в совокупности — обеспечивают всесторонний надзор за отдельными водителями. AP квалифицировала эту комбинацию как эквивалентную чувствительным персональным данным, требующим повышенной защиты
Штраф в €290 млн является крупнейшим единовременным штрафом за трансграничное нарушение передачи данных в истории правоприменения ЕС. Он устанавливает, что передача персональных данных сотрудников/подрядчиков в США требует столь же строгих TIA и дополнительных мер, как и передача потребительских данных.
Приоритеты правоприменения Dutch AP в 2025 году
AP опубликовала приоритетные направления правоприменения на 2025 год:
Мониторинг сотрудников (43% дел): Технологии слежки в условиях дистанционной работы — отслеживание производительности, захват экрана, регистрация нажатий клавиш, мониторинг местоположения удалённых сотрудников — остаются главным направлением правоприменения AP. AP требует документального обоснования соразмерности для любого мониторинга сотрудников: менее ограничительные альтернативы должны быть рассмотрены и задокументированы перед внедрением технологий слежки.
Трансграничная передача данных (31% дел): После штрафа Uber AP проводит аудит механизмов передачи данных для нидерландских компаний с операциями в США, Азии и странах без решения об адекватности. Компании, использующие американские SaaS-инструменты для HR, управления проектами или работы с данными клиентов, должны иметь обновлённые TIA.
Автоматизированное принятие решений (26% дел): Автоматизированная оценка кредитоспособности, алгоритмический отбор кандидатов при найме и оценка эффективности с помощью ИИ создают обязательства по статье 22. Правоприменение AP сосредоточено на организациях, использующих алгоритмические решения, затрагивающие нидерландских сотрудников или потребителей, без надлежащих механизмов участия человека.
BSN: основной идентификатор Нидерландов
Burgerservicenummer (BSN) — 9-значный номер гражданской службы Нидерландов, использующий алгоритм проверки Elfproef (одиннадцати-доказательство) — взвешенную сумму по modulus-11.
Elfproef: умножить каждую цифру на убывающий вес (9, 8, 7, 6, 5, 4, 3, 2, -1), суммировать произведения, и результат должен делиться на 11.
BSN входит в число наиболее юридически защищённых идентификаторов в Нидерландах — Закон о BSN (Wet algemene bepalingen burgerservicenummer) ограничивает его использование конкретными авторизованными контекстами (налоги, здравоохранение, государственные услуги, расчёт заработной платы). Организации, обрабатывающие BSN за пределами авторизованных контекстов, сталкиваются со специальными мерами AP в рамках Закона о BSN в дополнение к GDPR.
Проблема обнаружения: 56% универсальных инструментов NLP некорректно валидируют номера BSN (техническая оценка AP). Без реализации Elfproef:
- Любое 9-значное число помечается как потенциальный BSN — порождая огромное число ложных срабатываний в финансовых и административных документах
- Перестановочные или ошибочные BSN (распространённые при ручном вводе данных) пропускаются, поскольку не проходят Elfproef, но соответствуют 9-значному шаблону
Требования к нидерландскому NER
Нидерландский язык (Nederlands) имеет специфические лингвистические особенности, значимые для обнаружения персональных данных:
Сложные слова: Нидерландский активно использует сложные слова — «persoonsgegevens» (персональные данные), «Burgerservicenummer» (номер гражданской службы). Токенизаторы NLP, обученные на английском или других аналитических языках, нередко некорректно токенизируют нидерландские сложные слова.
Уменьшительные формы: Нидерландский часто использует уменьшительные формы имён (окончания -je, -tje) — «Annetje», «Hansje». Модели распознавания имён должны обрабатывать как базовые, так и уменьшительные формы.
Нидерландские форматы адресов: «Straat», «Laan», «Weg», «Plein», «Gracht» для обозначения типов улиц. Формат почтового индекса: 4 цифры + 2 буквы (например, 1234 AB). Нидерландские почтовые индексы высокоспецифичны (отдельные улицы) — более идентифицирующие, чем немецкие или британские.
IBAN в формате NL: Нидерландские IBAN начинаются с NL + 2 контрольные цифры + 4-буквенный банковский код + 10-значный номер счёта. Нидерланды имеют один из самых высоких показателей проникновения бесконтактных платежей в Европе, что означает высокую насыщенность нидерландских финансовых документов номерами IBAN.
Для соответствия Dutch AP: обнаружение BSN с валидацией Elfproef, нидерландский NER (spaCy nl_core_news), обнаружение нидерландских IBAN и задокументированное управление субобработчиками при трансграничной передаче данных — технический минимум. После штрафа Uber оценки воздействия передачи (TIA) для американских поставщиков больше не являются опциональными — они стали активными объектами аудита AP.
Источники: