Uber kazen v Holandiji
Autoriteit Persoonsgegevens (AP) je holandska GDPR avtoriteta. Njihova kazen za Uber v višini 290 milijonov evrov je bila največja kazen v Evropi do takrat.
Razlog za kazen: Uber je prenašal podatke delavcev iz Evrope v ZDA brez dovolj zaščite. Čeprav je Uber poskušal uporabiti »standard contractual clauses« (SCC), je sodišče ugotovilo, da SCC ne zagotavlja dovolj zaščite.
Schrems II odločba
Schrems II je bila sodna odločba, ki je zavrnila »Privacy Shield« in ga nadomestila s SCC. Vendar pa je Schrems II tudi postavila zahtevo:
Če je raven zaščite podatkov v prejemniku nižja kot v EU, mora biti dodana dodatna tehnična zaščita.
Kaj to pomeni za globalne ekipe
Ako ima vaša ekipa:
- Podatke v EU: GDPR
- Podatke v ZDA: Različne zakone (CCPA, itd.)
In če prenosite podatke iz EU v ZDA, morate:
- Imeti SCC
- Dodati dodatno tehnično zaščito — na primer enkripcijo
- Dokazati, da je enkripcija dejansko zaščita, ne le oznaka
Praktični primer: Multinacionalno podjetje
Podjetje z 100 zaposlenimi:
- 60 v EU (Nemčija, Francija, Holandija)
- 40 v ZDA (San Francisco, New York)
Vsi dostopajo do iste baze podatkov strank.
Prejšnji pristop:
- Samo SCC med podjetjema
- Podatki so šifriran »v prehodu«, vendar ne v shrambi
Novi pristop (Schrems II skladnost):
- SCC + dodatna tehnična zaščita
- Podatki so šifriran tudi v shrambi
- Samo EU delavci imajo ključe
- Dokaz enkripcije je preverjen s tretjo stranjo