Справа Uber Dutch AP
Dutch AP видав штраф Uber за передачу даних в США без відповідного захисту.
Проблеми:
- Дані передавалися до США
- Відсутня адекватна домовленість
- Дані підпадали під CLOUD Act США
- Немає технічних засобів захисту
Вимоги для трансатлантичних передач
Законний механізм:
- Standard Contractual Clauses (SCCs)
- Binding Corporate Rules (BCRs)
- Adequate Decision (Швейцарія, Канада)
Технічні засоби:
- Дані мають бути зашифровані
- Ключи повинні залишатись у ЄС
- США провайдер не повинен мати доступ
Документування:
- Transfer Impact Assessment (TIA)
- DPIA для передачі
- Документування механізму
Контрольний список для організацій з трансатлантичними передачами
- ☐ Оцінити законність передачі
- ☐ Вибрати механізм (SCC, BCR)
- ☐ Впровадити шифрування
- ☐ Окремо зберігати ключі
- ☐ Провести TIA та DPIA