ความขัดแย้งพื้นฐาน
เมื่อคุณใช้เครื่องมือทำให้ไม่ระบุตัวตน:
- คุณส่งข้อมูลที่มี PII ไปยังเครื่องมือ
- เครื่องมือประมวลผลข้อมูล
- เครื่องมือส่งคืนข้อมูลที่ทำให้ไม่ระบุตัวตน
ขั้นตอน 1 และ 2 คือการถ่ายโอนข้อมูลไปยังผู้ประมวลผล third-party หากผู้ขายเป็นบริษัทสหรัฐอเมริกาบนเซิร์ฟเวอร์สหรัฐอเมริกา นั่นคือการถ่ายโอนระหว่างประเทศ GDPR
ค่าปรับ Uber
Dutch AP ปรับ Uber €290M ในปี 2024 สำหรับการส่งข้อมูลพนักงานยุโรปไปยังเซิร์ฟเวอร์สหรัฐอเมริกาโดยไม่มีการป้องกัน GDPR มาตรา 46 เพียงพอ
วิธีประเมินความเสี่ยงของเครื่องมือ PII ของคุณ
- เซิร์ฟเวอร์อยู่ที่ไหน?
- ผู้ขายได้รับการรับรอง EU-US DPF หรือมี SCCs ไหม?
- หรือ: ประมวลผลในเครื่องทั้งหมดหรือไม่?
แหล่งที่มา: