Dutch AP и прецедент Uber
Нидерландский Autoriteit Persoonsgegevens (AP) установил наиболее значимый прецедент правоприменения в области передачи данных в ЕС в августе 2024 года: штраф в размере €290 млн против Uber Technologies за несанкционированную передачу персональных данных европейских водителей на серверы в США.
Правоприменительное действие против Uber включало:
- Данные европейских водителей (лицензии на такси, проверки судимости, медицинские записи, истории поездок), хранящиеся на серверах в США
- Передачу данных после признания Щита конфиденциальности ЕС–США недействительным в результате Schrems II (июль 2020 года)
- Продолжение передач без внедрения Стандартных договорных оговорок или других мер защиты GDPR Статьи 46 примерно в течение двух лет после Schrems II
Штраф в €290 млн является крупнейшим в ЕС индивидуальным штрафом за нарушения передачи данных и третьим по величине общим штрафом GDPR. Он устанавливает, что нарушения трансграничных передач — а не только утечки данных — несут катастрофические финансовые последствия.
Структура приоритетов правоприменения Dutch AP
Dutch AP получил более 21 400 жалоб GDPR в 2023 году, распределяя ресурсы правоприменения в соответствии с опубликованной матрицей приоритетов. Три приоритетные категории:
Приоритет 1 — Наблюдение за сотрудниками (43% дел правоприменения): Нидерландские компании неоднократно получали правоприменительные меры AP за мониторинг сотрудников: скрытое наблюдение, несоразмерный мониторинг электронной почты и отслеживание геолокации без надлежащего уведомления. Нидерландское трудовое законодательство (Arbeidstijdenwet) обеспечивает дополнительную защиту сверх GDPR.
Приоритет 2 — Трансграничные передачи данных (31% дел правоприменения): После Uber и совместного расследования Dutch AP с ирландским DPC в отношении Cloudflare (2023) AP усилил акцент на соответствии передачи данных. Концентрация технологического хаба Амстердама — особенно облачные сервисы, финтех и масштабирующиеся компании — создаёт высокую уязвимость для организаций, передающих данные в страны, не входящие в ЕС.
Приоритет 3 — Маркетинг и поведенческое профилирование (26% дел правоприменения): Согласие на файлы cookie, поведенческая реклама и соответствие прямому маркетингу. Руководство Dutch AP по «законным интересам» для маркетинга строже, чем некоторые эквиваленты ЕС — AP требует задокументированных тестов на баланс со специфическими доказательствами того, что законный интерес перевешивает права субъектов данных.
Требования к трансграничным передачам после Uber
Правоприменение Uber устанавливает практические требования для организаций, передающих персональные данные из Нидерландов:
Оценки воздействия на передачу (TIA): После Schrems II EDPB требует TIA для всех передач в третьи страны, оценивая, являются ли правовые меры защиты в стране назначения «принципиально эквивалентными» защите ЕС. Руководство Dutch AP после Uber явно указывает, что TIA должны оценивать:
- Законы страны назначения о государственном доступе
- Возможности спецслужб в стране назначения
- Историю государственных запросов к импортёру данных
- Доступные правовые средства защиты для субъектов данных
Стандартные договорные оговорки (SCC) — недостаточно сами по себе: Примечание к правоприменению AP по Uber поясняет, что SCC в одиночку не удовлетворяют Статье 46, когда TIA выявляет, что законодательство страны назначения позволяет государственный доступ к переданным данным. Там, где SCC недостаточны, требуются дополнительные дополнительные меры.
Дополнительные технические меры, принятые Dutch AP:
- Шифрование, при котором импортёр данных не хранит ключи расшифровки
- Псевдонимизация перед передачей (замена идентификаторов), где повторная идентификация невозможна импортёром данных
- Минимизация данных перед передачей (удаление категорий данных, не нужных импортёру)
Архитектура офлайн-настольного приложения — обработка всех данных локально, без передачи на серверы — полностью устраняет вопрос трансграничной передачи для этой обрабатывающей деятельности.
Данные сотрудников и нидерландское трудовое законодательство
Доля правоприменения Dutch AP в отношении наблюдения за сотрудниками в 43% отражает взаимодействие между GDPR и нидерландским трудовым законодательством (Wet bescherming persoonsgegevens arbeidsverhoudingen — законом о защите данных в трудовых отношениях).
Ключевые нидерландские требования к данным сотрудников:
- Консультация производственного совета: Нидерландские организации с производственными советами (Ondernemingsraad) должны консультироваться с производственным советом перед внедрением любой системы мониторинга сотрудников. Это включает ИИ-мониторинг производительности, мониторинг коммуникаций и системы посещаемости.
- Оценка соразмерности: Мониторинг сотрудников должен быть строго соразмерен заявленной цели. Скрытый мониторинг, как правило, запрещён; явный мониторинг должен быть наименее инвазивным доступным методом.
- Ограничение обработки: Данные сотрудников, собранные для одной цели HR, не могут быть перепрофилированы для другой цели HR без нового правового основания.
Для организаций, зарегистрированных в Нидерландах или нанимающих нидерландских сотрудников, эти требования создают специфические потребности в технической документации: запись консультации с производственным советом, документ оценки соразмерности и меры контроля ограничения обработки.
Нидерландско-специфическое обнаружение PII
Для инструментов PII, развёрнутых в Нидерландах, требуется обнаружение специфичных для Нидерландов сущностей:
- Burger Service Nummer (BSN): Нидерландский национальный идентификационный номер (9 цифр) — используется для налогов, здравоохранения, социальных услуг
- IBAN Нидерланды (префикс NL): Нидерландский формат IBAN со специфической валидацией
- Нидерландские почтовые коды (postcode): Формат: 4 цифры + пробел + 2 буквы
- Нидерландский DigiD: Идентификатор государственной системы цифровой идентичности
- Нидерландские медицинские номера: Форматы идентификаторов BGZ/EP для электронных медицинских карт
Стандартные глобальные инструменты PII могут обнаруживать общие форматы IBAN, но могут не проверять контрольную сумму нидерландского BSN или обнаруживать нидерландский формат почтовых кодов. Организации, обрабатывающие нидерландские данные национальной идентичности, должны проверить охват обнаружения BSN.
Подход к соответствию для нидерландских организаций
Для организаций, зарегистрированных в Нидерландах:
1. Аудит трансграничных передач:
- Картографировать все потоки данных из Нидерландов в третьи страны
- Определить все действующие SCC и их охват
- Провести или обновить TIA для значительных потоков передачи
- Задокументировать дополнительные технические меры для передач, где TIA выявляет риск
2. Проверка мониторинга сотрудников:
- Инвентаризировать все системы мониторинга сотрудников (включая ИИ-инструменты)
- Проверить записи консультаций с производственным советом
- Подтвердить, что оценки соразмерности задокументированы
3. Нидерландско-специфический охват PII:
- Проверить обнаружение BSN в развёрнутых инструментах PII
- Проверить обнаружение нидерландских почтовых кодов и IBAN
- Протестировать точность NER нидерландского языка на нидерландскоязычных документах
4. Уязвимость технологического хаба Амстердама:
- Для стартапов и масштабирующихся компаний: задокументировать решения об архитектуре данных, минимизирующие трансграничные передачи (облачные сервисы в регионе ЕС, варианты локальной обработки)
- Для провайдеров облачных сервисов с архитектурой ЕС–США: задокументировать механизмы передачи и методологию TIA
Источники: