anonym.legal

By · Last updated 2026-06-05

Quay lại BlogGDPR & Tuân Thủ

Dutch AP: Phạt Uber €290 Triệu và Chuyển Dữ Liệu Xuyên Biên Giới

Dutch AP đã ban hành mức phạt chuyển dữ liệu cá nhân lớn nhất trong EU — €290 triệu đối với Uber vào năm 2024. Đây là những gì tuân thủ chuyển dữ liệu xuyên biên giới đòi hỏi.

June 5, 20267 phút đọc
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Dutch AP và Tiền Lệ Uber

Autoriteit Persoonsgegevens (AP) của Hà Lan đã thiết lập tiền lệ thực thi chuyển dữ liệu quan trọng nhất trong EU vào tháng 8 năm 2024: mức phạt €290 triệu đối với Uber Technologies vì đã chuyển trái phép dữ liệu cá nhân của các tài xế châu Âu sang máy chủ tại Hoa Kỳ.

Hành động thực thi đối với Uber liên quan đến:

  • Dữ liệu tài xế châu Âu (giấy phép taxi, kiểm tra lý lịch hình sự, hồ sơ y tế, lịch sử di chuyển) được lưu trữ trên máy chủ đặt tại Mỹ
  • Chuyển dữ liệu sau khi EU-US Privacy Shield bị vô hiệu hóa bởi Schrems II (tháng 7 năm 2020)
  • Tiếp tục chuyển dữ liệu mà không triển khai Điều khoản Hợp Đồng Tiêu Chuẩn hoặc các biện pháp bảo vệ Điều 46 GDPR khác trong khoảng hai năm sau Schrems II

Mức phạt €290 triệu là mức phạt cá nhân cao nhất trong EU về vi phạm chuyển dữ liệu và cao thứ ba trong tổng số mức phạt GDPR. Điều này xác lập rằng vi phạm chuyển dữ liệu xuyên biên giới — không chỉ vi phạm dữ liệu — mang lại hậu quả tài chính thảm khốc.

Cấu Trúc Ưu Tiên Thực Thi Của Dutch AP

Dutch AP nhận được hơn 21.400 khiếu nại GDPR vào năm 2023, phân bổ nguồn lực thực thi theo ma trận ưu tiên được công bố. Ba danh mục ưu tiên:

Ưu tiên 1 — Giám sát nhân viên (43% các trường hợp thực thi): Các công ty có trụ sở tại Hà Lan đã nhận được nhiều lần thực thi của AP về giám sát nhân viên: giám sát bí mật, giám sát email không tương xứng và theo dõi định vị địa lý mà không có thông báo đầy đủ. Luật lao động Hà Lan (Arbeidstijdenwet) cung cấp bảo vệ bổ sung ngoài GDPR.

Ưu tiên 2 — Chuyển dữ liệu xuyên biên giới (31% các trường hợp thực thi): Sau Uber và cuộc điều tra chung của Dutch AP với Irish DPC về Cloudflare (2023), AP đã tăng cường tập trung vào tuân thủ chuyển dữ liệu. Sự tập trung của trung tâm công nghệ Amsterdam — đặc biệt là các dịch vụ đám mây, fintech và scale-up — tạo ra mức độ phơi nhiễm cao cho các tổ chức chuyển dữ liệu sang các quốc gia ngoài EU.

Ưu tiên 3 — Marketing và lập hồ sơ hành vi (26% các trường hợp thực thi): Tuân thủ đồng ý cookie, quảng cáo hành vi và tiếp thị trực tiếp. Hướng dẫn của Dutch AP về "lợi ích hợp pháp" cho tiếp thị nghiêm ngặt hơn một số tương đương EU — AP yêu cầu các bài kiểm tra cân bằng được ghi lại với bằng chứng cụ thể rằng lợi ích hợp pháp vượt trội so với quyền của chủ thể dữ liệu.

Yêu Cầu Chuyển Dữ Liệu Xuyên Biên Giới Sau Uber

Việc thực thi đối với Uber thiết lập các yêu cầu thực tế cho các tổ chức chuyển dữ liệu cá nhân từ Hà Lan:

Đánh Giá Tác Động Chuyển Dữ Liệu (TIA): Sau Schrems II, EDPB yêu cầu TIA cho tất cả các lần chuyển dữ liệu sang các quốc gia thứ ba, đánh giá liệu các biện pháp bảo vệ pháp lý ở quốc gia đích có "tương đương về bản chất" với các biện pháp bảo vệ của EU hay không. Hướng dẫn hậu-Uber của Dutch AP quy định rõ ràng rằng TIA phải đánh giá:

  • Luật tiếp cận chính phủ của quốc gia đích
  • Năng lực của cơ quan tình báo tại quốc gia đích
  • Hồ sơ theo dõi các yêu cầu của chính phủ đối với bên nhập dữ liệu
  • Các biện pháp pháp lý sẵn có cho chủ thể dữ liệu

Điều khoản Hợp Đồng Tiêu Chuẩn (SCC) — không đủ chỉ một mình: Ghi chú thực thi Uber của AP làm rõ rằng SCC đơn độc không đáp ứng Điều 46 khi TIA tiết lộ rằng luật quốc gia đích cho phép chính phủ tiếp cận dữ liệu được chuyển. Cần có các biện pháp bổ sung bổ sung khi SCC không đủ.

Các biện pháp kỹ thuật bổ sung được Dutch AP chấp nhận:

  • Mã hóa khi bên nhập dữ liệu không giữ khóa giải mã
  • Giả danh hóa trước khi chuyển (thay thế định danh) khi bên nhập dữ liệu không thể tái định danh
  • Tối thiểu hóa dữ liệu trước khi chuyển (loại bỏ các danh mục dữ liệu không cần thiết cho bên nhập)

Kiến trúc Desktop App offline — xử lý tất cả dữ liệu cục bộ, không bao giờ truyền đến máy chủ — loại bỏ hoàn toàn câu hỏi chuyển dữ liệu xuyên biên giới cho hoạt động xử lý đó.

Dữ Liệu Nhân Viên và Luật Lao Động Hà Lan

43% tỷ lệ thực thi giám sát nhân viên của Dutch AP phản ánh sự tương tác giữa GDPR và luật lao động Hà Lan (Wet bescherming persoonsgegevens arbeidsverhoudingen — luật bảo vệ dữ liệu quan hệ lao động).

Các yêu cầu chính của Hà Lan đối với dữ liệu nhân viên:

  • Tham vấn hội đồng lao động: Các tổ chức Hà Lan có hội đồng lao động (Ondernemingsraad) phải tham vấn hội đồng lao động trước khi triển khai bất kỳ hệ thống giám sát nhân viên nào. Điều này bao gồm giám sát hiệu suất AI, giám sát giao tiếp và hệ thống chuyên cần.
  • Đánh giá tỷ lệ: Giám sát nhân viên phải hoàn toàn tương xứng với mục đích đã nêu. Giám sát bí mật thường bị cấm; giám sát công khai phải là phương pháp ít xâm phạm nhất.
  • Giới hạn xử lý: Dữ liệu nhân viên được thu thập cho một mục đích nhân sự không thể được sử dụng lại cho mục đích nhân sự khác mà không có căn cứ pháp lý mới.

Đối với các tổ chức có trụ sở tại Hà Lan hoặc tuyển dụng nhân viên người Hà Lan, những yêu cầu này tạo ra các nhu cầu tài liệu kỹ thuật cụ thể: bản ghi tham vấn hội đồng lao động, tài liệu đánh giá tỷ lệ và các kiểm soát giới hạn xử lý.

Phát Hiện PII Đặc Thù Của Hà Lan

Đối với các công cụ PII được triển khai tại Hà Lan, cần phát hiện thực thể đặc thù của Hà Lan:

  • Burger Service Nummer (BSN): Số định danh quốc gia của Hà Lan (9 chữ số) — được sử dụng cho thuế, chăm sóc sức khỏe, dịch vụ xã hội
  • IBAN Hà Lan (tiền tố NL): Định dạng IBAN Hà Lan với xác thực cụ thể
  • Mã bưu điện Hà Lan (postcode): Định dạng: 4 chữ số + khoảng cách + 2 chữ cái
  • DigiD Hà Lan: Định danh hệ thống nhận dạng kỹ thuật số của chính phủ
  • Số chăm sóc sức khỏe Hà Lan: Định dạng định danh BGZ/EP cho hồ sơ bệnh nhân điện tử

Các công cụ PII toàn cầu tiêu chuẩn có thể phát hiện các định dạng IBAN chung nhưng có thể không xác thực kiểm tra tổng BSN của Hà Lan hoặc phát hiện định dạng mã bưu điện của Hà Lan. Các tổ chức xử lý dữ liệu định danh quốc gia Hà Lan nên xác minh mức độ bao phủ phát hiện BSN.

Cách Tiếp Cận Tuân Thủ Cho Các Tổ Chức Hà Lan

Đối với các tổ chức có trụ sở tại Hà Lan:

1. Kiểm toán chuyển dữ liệu xuyên biên giới:

  • Lập bản đồ tất cả các luồng dữ liệu từ Hà Lan sang các quốc gia thứ ba
  • Xác định tất cả các SCC đang có hiệu lực và phạm vi bao phủ của chúng
  • Tiến hành hoặc cập nhật TIA cho các luồng chuyển đáng kể
  • Ghi lại các biện pháp kỹ thuật bổ sung cho các lần chuyển mà TIA tiết lộ rủi ro

2. Xem xét giám sát nhân viên:

  • Kiểm kê tất cả các hệ thống giám sát nhân viên (bao gồm công cụ AI)
  • Xác minh hồ sơ tham vấn hội đồng lao động
  • Xác nhận các đánh giá tỷ lệ được ghi lại

3. Mức độ bao phủ PII đặc thù của Hà Lan:

  • Xác minh phát hiện BSN trong các công cụ PII được triển khai
  • Xác minh phát hiện mã bưu điện và IBAN Hà Lan
  • Kiểm tra độ chính xác NER tiếng Hà Lan đối với tài liệu bằng tiếng Hà Lan

4. Mức độ phơi nhiễm của trung tâm công nghệ Amsterdam:

  • Đối với các startup và scale-up: ghi lại các quyết định kiến trúc dữ liệu giảm thiểu chuyển dữ liệu xuyên biên giới (dịch vụ đám mây khu vực EU, tùy chọn xử lý cục bộ)
  • Đối với các nhà cung cấp dịch vụ đám mây có kiến trúc EU-US: ghi lại các cơ chế chuyển dữ liệu và phương pháp TIA

Nguồn tham khảo:

Các Bài viết Liên quan

GDPR & Tuân Thủ

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Tuân Thủ

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Tuân Thủ

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.