anonym.legal

By · Last updated 2026-06-05

Bloga DönGDPR & Uyumluluk

Hollanda AP: 290 Milyon Euro Uber Cezası ve Sınır Ötesi Aktarımlar

Hollanda AP, 2024'te Uber'e AB'nin en büyük bireysel veri aktarım cezasını kesti — 290 milyon Euro. Sınır ötesi aktarım uyumunun neleri gerektirdiğine dair ayrıntılı rehber.

June 5, 20267 dk okuma
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Hollanda AP ve Uber Cezası

Ağustos 2024'te Hollanda AP, Uber'e 290 milyon Euro para cezası kesti. Uber, AB sürücü verilerini yasal bir dayanağı olmaksızın ABD sunucularına aktardı. Bu veriler taksi lisanslarını, sabıka kontrollerini, tıbbi kayıtları ve seyahat günlüklerini kapsıyordu.

Uber, Temmuz 2020'de Schrems II kararının AB-ABD Gizlilik Kalkanı'nı geçersiz kılmasının ardından verileri taşımaya başladı. İki yıl boyunca bu aktarımlar sürdü. Standart sözleşmesel maddeler yok. Madde 46 kapsamında herhangi bir araç yok.

Bu ceza, veri aktarımı ihlali nedeniyle AB'de verilen en büyük cezadır. Tüm GDPR cezaları arasında üçüncü sırada yer alıyor. Aktarım başarısızlıkları artık büyük maliyetler doğuruyor. Yalnızca ihlaller değil.

Hızlı bir genel bakış için GDPR uyum rehberimize bakın.

AP Yaptırım Öncelik Alanları

Hollanda AP 2023'te 21.400'den fazla şikayet aldı. Üç alana odaklanıyor.

Öncelik 1 — Çalışan izleme (davaların %43'ü): Hollanda'daki pek çok firma, çalışanlarını gözetleme nedeniyle AP cezasıyla karşılaştı. Gizli kameralar, toplu e-posta denetimleri ve bildirimsiz GPS takibi harekete geçirilmeye neden oluyor. Hollanda iş hukuku GDPR'ın üstüne ek kurallar ekliyor.

Öncelik 2 — Sınır ötesi aktarımlar (davaların %31'i): Uber cezasının ve İrlanda DPC ile Cloudflare'a yönelik ortak soruşturmanın (2023) ardından AP aktarım denetimini sıkılaştırdı. Amsterdam'ın teknoloji sektörü bu alanda yüksek riskle karşı karşıya. Bulut firmaları, fintek şirketleri ve hızlı büyüyen girişimler kapsamın içinde.

Öncelik 3 — Pazarlama ve profilleme (davaların %26'sı): Bu alan çerez onayını, reklam hedeflemeyi ve doğrudan pazarlamayı kapsıyor. AP, "meşru menfaat"e katı bir gözle bakıyor. Açık kanıtlarla yazılı testler istiyor.

Uber Sonrası Aktarım Kuralları

Aktarım Etki Değerlendirmeleri (AED): EDPB, üçüncü bir ülkeye yapılan her aktarım için AED zorunlu kılıyor. AED, aktarım yapılan ülkenin AB hukukuyla eşit koruma sağladığını göstermelidir. AP, bir AED'in dört soruyu yanıtlaması gerektiğini belirtiyor:

  • Hedef ülkedeki erişim yasaları neler?
  • İstihbarat servislerinin erişim kapsamı ne kadar geniş?
  • Veri ithalatçısına yönelik hükümet talepleri geçmişte nasıldı?
  • Veri sahipleri hangi hukuki başvuru yollarını kullanabilir?

Standart Sözleşmesel Maddeler — tek başına yeterli değil: SCC'ler tek başına Madde 46'yı karşılamaz. AED hükümet erişimi riski işaret ediyorsa ek güvenceler zorunludur.

AP'nin kabul ettiği ek teknik tedbirler:

  • İthalatçının şifre çözme anahtarlarına erişimi olmayan şifreleme
  • İthalatçının veriyi kişiyle ilişkilendiremeyeceği şekilde aktarım öncesi doğrudan kimliklerin kaldırılması
  • İthalatçının ihtiyaç duymadığı alanları kesmek için aktarım öncesi veri azaltma

Çevrimdışı Masaüstü Uygulama tüm işlemi cihazınızda gerçekleştirir. Dışarıya veri göndermez. Bu, söz konusu faaliyet için aktarım sorununu ortadan kaldırır. Güvenlik ve uyum genel bakışımıza bakın.

Çalışan Verileri ve Hollanda İş Hukuku

AP'nin çalışan izleme davalarına verdiği %43'lük pay, GDPR ile Hollanda iş hukukunun nasıl örtüştüğünü gösteriyor.

Hollanda merkezli kuruluşlar için üç kural geçerlidir:

Çalışma konseyi onayı: Çalışma konseyine sahip bir şirket, herhangi bir izleme aracını devreye almadan önce konseyin onayını almak zorundadır. Bu, yapay zeka araçlarını, e-posta denetimlerini ve devam sistemlerini kapsıyor.

Amaca uygunluk: İzleme belirtilen hedefle örtüşmelidir. Gizli izleme yasaktır. Açık izleme en az müdahaleci seçenek olmalıdır.

Amaç sınırlaması: Bir hedef için toplanan İK verisi başka bir amaç için kullanılamaz. Yeni bir yasal dayanak gereklidir.

Bu kurallar üç kayıt gerektirir: konsey onayı, amaç denetimi ve kontroller. Uyum kontrol listemiz üçünü de kapsıyor.

Hollanda KKB Tespiti

Hollanda'daki KKB araçlarının yerel kimlik formatlarını işleyebilmesi gerekir. Standart küresel araçlar bunları sık sık gözden kaçırır:

  • BSN (Burger Service Nummer): 9 haneli Hollanda ulusal kimlik numarası — sağlama toplamı doğrulaması gerektirir
  • IBAN (NL öneki): Kendine özgü doğrulama mantığıyla Hollanda IBAN'ı
  • Posta kodu (postcode): Format 4 rakam + boşluk + 2 harf
  • DigiD: Devlet dijital kimlik kodu
  • Sağlık numaraları: Hasta kayıtları için BGZ ve EP formatları

Jenerik bir araç IBAN'ı yakalayabilir ama BSN sağlama toplamını veya posta kodu formatını gözden kaçırabilir. Ulusal kimlik verilerini işlemeden önce BSN tespitini test edin. Kapsamı var saymayın.

Hollanda Kuruluşları için Adımlar

1. Aktarım denetimi: Üçüncü ülkelere yönelik tüm veri akışlarını listeleyin. Mevcut SCC'leri gözden geçirin. Önemli akışlar için AED yapın. AED risk işaret ettiği yerde ek teknik tedbirleri kayıt altına alın.

2. Çalışan izleme incelemesi: Yapay zeka dahil tüm izleme araçlarını listeleyin. Çalışma konseyi onay kayıtlarını kontrol edin. Amaç denetimlerinin yazılı olduğunu teyit edin.

3. KKB kapsam denetimi: KKB araçlarınızda BSN, posta kodu ve IBAN tespitini test edin. Hollandaca belgelerde doğruluk testleri yapın.

4. Teknoloji sektörü maruziyeti: Girişimler, aktarım riskini azaltan seçimleri kayıt altına almalıdır — AB bölgesi bulut ve yerel işleme seçenekleri. AB-ABD kurulumuna sahip bulut sağlayıcılar aktarım araçlarını ve AED yaklaşımını belgelemelidir.

anonym.legal, sıfır bilgi tasarımıyla Hetzner'in AB merkezli veri merkezlerini kullanmaktadır. Sunucular yalnızca AES-256-GCM şifreli metni barındırır. Eksiksiz bir sunucu ihlali yalnızca okunamaz şifreli metin döndürür. Yerel işleme mi istiyorsunuz? Masaüstü Uygulama, dış bağlantı olmaksızın tamamen cihazınızda çalışır.

Kaynaklar

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.