Інженерія privacy та захисту персональних даних електросамоката: cross-cutting privacy-preservation axis — GDPR Regulation (EU) 2016/679 + ePrivacy Directive 2002/58/EC + EU Data Act Regulation (EU) 2023/2854 + UK Data Protection Act 2018 + California CCPA/CPRA + ISO/IEC 27701:2019 PIMS + ISO/IEC 29100:2024 Privacy Framework + ISO/IEC 29134:2017 PIA + IEEE 7002-2022 + NIST Privacy Framework v1.0

20.05.2026 Scootify 17 хв читання

У серії інженерного гайду ми описали акумуляторну батарею з BMS і thermal runaway intro, гальмівну систему, мотор і контролер, підвіску, шини, світло і видимість, раму й вилку, display + HMI, зарядний пристрій SMPS CC/CV, connector + wiring harness, IP-захист, bearingи з ISO 281 L10, стеблину і механізм складання, деку, handgrip + lever + throttle, колесо як assembly, інженерію різьбових з’єднань як joining-axis, термоменеджмент як heat-dissipation axis, EMC/EMI як interference-mitigation axis, кібербезпеку як interconnect-trust axis, NVH як acoustic-vibration-emission axis, функціональну безпеку як safety-integrity axis, інженерію життєвого циклу батареї як sustainability axis, ремонтопридатність як repairability-axis та environmental robustness як environmental-conditioning axis. Ці 26 engineering-axes описали підсистеми, способи з’єднання, відведення тепла, electromagnetic співіснування, встановлення довіри між підсистемами, акустично-вібраційну емісію, безпекову цілісність, sustainability, ремонтопридатність та environmental conditioning — але жодна з них не описала охорону персональних даних користувача, що накопичуються кожною поїздкою, кожним BLE-pairing, кожним викликом до cloud-сервера бренда.

Інженерія кібербезпеки (interconnect-trust axis DZ) описує захист системи від несанкціонованого доступу: BLE Just Works → MITM, OTA без signature → firmware substitution, GPS без OSNMA → spoofing. Це захист пристрою. Privacy — це окрема вісь, що описує захист даних користувача від zловживання, що включає не лише чужих зловмисників, а й самого виробника, fleet-оператора, третіх рекламних SDK, державу і правових наступників після bankruptcy/acquisition. Юридичний фундамент — Regulation (EU) 2016/679 GDPR (у силі з 25.05.2018, 99 статей + 173 преамбули), Directive 2002/58/EC ePrivacy (cookie-banner + BLE-tracker), Regulation (EU) 2023/2854 EU Data Act (IoT data sharing, у силі з 12.09.2025) і національні аналоги в кожній юрисдикції — UK DPA 2018, California CCPA/CPRA, Brazil LGPD, China PIPL, Switzerland nFADP.

Це двадцять сьома engineering-axis deep-dive у серії гайду — і десята cross-cutting infrastructure axis (паралельна до joining DT + heat-dissipation DV + interference-mitigation DX + interconnect-trust DZ + acoustic-vibration-emission EB + safety-integrity ED + sustainability EF + repairability EH + environmental-conditioning EJ, тепер privacy-preservation EL). Privacy-preservation axis відрізняється тим, що жодна суто технічна правка не розв’язує її повністю: цей контур вимагає узгодженості архітектурних рішень (privacy-by-design per Article 25 GDPR), юридичних (Article 6 lawful basis + DPA Article 28), процесних (Article 35 DPIA + Article 33 breach notification 72h) і користувацьких контролів (Articles 12-22 data subject rights).

1. Privacy ≠ cybersecurity: окрема cross-cutting axis

Cybersecurity (DZ-axis) і privacy (EL-axis) часто зустрічаються разом, але вирішують різні задачі:

Вимір	Cybersecurity (DZ)	Privacy (EL)
Що захищає	Пристрій від несанкціонованого доступу	Користувача від зловживання даними
Від кого	Зовнішнього зловмисника	Виробник, fleet-оператор, третій SDK, держава, наступники
Юридична база	UNECE R155 CSMS + ETSI EN 303 645 + IEC 62443 + EU CRA 2024/2847	GDPR 2016/679 + ePrivacy 2002/58 + Data Act 2023/2854 + UK DPA 2018
Стандарт-фундамент	ISO/SAE 21434:2021 TARA	ISO/IEC 27701:2019 PIMS + ISO/IEC 29100:2024 + ISO/IEC 29134:2017
Технічна ціль	Confidentiality + Integrity + Availability (CIA triad)	Lawful + Fair + Transparent processing
Обов’язок виробника	Secure SDLC + signed firmware + secure boot	Privacy by design + DPIA + lawful basis + data minimisation
Контроль користувача	“Не можу зламати — добре”	“Можу запитати, виправити, видалити, перенести, заперечити”

Класичний приклад розмежування: повністю secured телеметричний канал e-самоката, що зашифровано через TLS 1.3 + mutual-TLS + certificate pinning, повертає на cloud-сервер бренда continuous GPS-трек з 1-Hz роздільністю разом з user_id. Cybersecurity-axis виконано досконало — зовнішній attacker не зможе intercept. Privacy-axis при цьому повністю порушено: лежить legitimate-interests justification для збирання, не виконано data minimisation (1-Hz замість 1-min aggregate), не виконано storage limitation (зберігається 5 років без обґрунтування), не надано transparent information (user notice без розкриття recipients), не виконано automated decision-making safeguards (Article 22 — система ML-моделей profile user без opt-out).

GDPR — Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. У силі з 25.05.2018, 99 статей + 173 преамбули (Recitals), directly applicable в усіх 27 державах-членах ЄС (replaces Directive 95/46/EC). Структура:

Розділ	Статті	Зміст
Chapter I	1-4	General provisions, definitions (Article 4)
Chapter II	5-11	Principles (Article 5) + lawful bases (Article 6) + special categories (Article 9)
Chapter III	12-23	Data subject rights (information, access, rectification, erasure, portability, object, automated decisions)
Chapter IV	24-43	Controller + processor obligations (privacy by design, DPIA, DPO, breach notification)
Chapter V	44-50	International transfers (adequacy, SCC, BCR, derogations)
Chapter VI	51-59	Independent supervisory authorities (DPAs)
Chapter VII	60-76	Cooperation + consistency mechanism (EDPB)
Chapter VIII	77-84	Remedies + liability + fines (up to €20M or 4% global turnover)
Chapter IX	85-91	Specific situations (employment, journalism, archiving)
Chapter X-XI	92-99	Final provisions

Material scope (Article 2): processing of personal data wholly/partly by automated means. Personal data (Article 4(1)) — будь-яка інформація, що прямо або непрямо ідентифікує natural person (‘data subject’). Recital 26: anonymous data (where re-identification is impossible) — поза scope; pseudonymous data (Article 4(5), де ідентифікатори замінено токеном) — у scope як personal data.

Territorial scope (Article 3): встановлення в ЄС АБО offering goods/services to data subjects в ЄС АБО monitoring behaviour таких субʼєктів. Bird/Lime/Voi/Tier, що оперують в Парижі/Берліні/Стокгольмі — однозначно у scope, незалежно від місцезнаходження HQ.

3. Article 6 lawful bases applied to e-scooter telematics

Article 6(1) — обробка є legal лише якщо і коли виконується щонайменше одна з шести підстав. Не “вибрав найзручнішу” — а доведено документально і обмежено саме нею.

Підстава	Article 6(1)(x)	E-scooter typical application	Acceptance gate
Consent	(a)	App push notifications, marketing emails, optional analytics SDK	Article 7 freely given + specific + informed + unambiguous + withdrawable
Contract	(b)	Provisioning ride (start/end timestamp + cost calc + payment)	Strictly necessary для виконання договору (Recital 44)
Legal obligation	(c)	Retention of trip data for police request under fleet operator licence	Specific legal text у Member State law required
Vital interests	(d)	Emergency crash detection → automatic dispatch	Rare, only when data subject is incapable of consenting
Public task	(e)	Local authority fleet integration, GBFS aggregator	Власне official authority + proportionality
Legitimate interests	(f)	Anti-theft GPS monitoring + fleet rebalancing + product analytics	Article 6(1)(f) + LIA balancing test + Article 21 right to object honoured

Найпоширеніша помилка фабрикантів consumer e-самокатів — піднявши все під consent і одночасно роблячи app непридатним для роботи без opt-in. Це порушує Article 7(4) (“freely given” — якщо app не працює без consent, consent не є freely given) і Recital 43 (“imbalance of power”). Замість цього: provisioning ride — контракт (b); anti-theft GPS — legitimate interests (f) з documented LIA + opt-out; marketing — consent (a) opt-in tickbox.

Особлива категорія (Article 9) — racial/ethnic origin, political opinions, religion, trade union membership, biometric data for unique identification (face unlock!), health, sex life, sexual orientation. Заборона обробки за замовчуванням, з 10 винятками (Article 9(2)). Face unlock дисплея → explicit consent Article 9(2)(a) + DPIA mandatory Article 35(3)(b).

4. Personal data inventory на connected e-самокаті

Перш ніж будь-яка privacy-engineering робота може бути зроблена, треба зробити інвентаризацію персональних даних. Article 30 GDPR прямо вимагає Records of Processing Activities (RoPA). 9 типових категорій на сучасному shared/personal e-scooter:

Категорія	Джерело	Класифікація GDPR	Типова retention	Lawful basis
GPS coordinates	GNSS receiver, телеметрія в cloud	Personal data (location identifier)	30 днів raw + indefinite aggregated	(b) для ride, (f) для anti-theft
IMU/telemetry (speed, accel, brake, lean)	Sensor fusion, OTA logs	Personal data when linked to user_id	90 днів raw	(b) для warranty, (f) для R&D
User identity (name, email, phone, DOB)	Account registration	Personal data	Account lifetime + 90 днів	(b) для contract
BLE pairing data (Bluetooth MAC, IRK)	Pairing handshake	Identifier-class personal data	Until unpair	(b) для функції
Biometrics (face unlock template)	Mobile app	Special category Article 9	Locally stored, never transmitted	Explicit consent (9)(2)(a)
Payment data (PAN, last-4, expiry)	Payment processor pass-through	Special handling per PCI-DSS	Never store full PAN	(b) + PCI-DSS scope
IP address	Cloud TLS termination logs	Personal data per Recital 30	30 днів security logs	(f) для anti-fraud
Device identifier (IMEI, IDFA, AAID)	Mobile app SDK	Personal data per Recital 30	Until app uninstall	(a) consent (тому що advertising)
App analytics (events, sessions, crashes)	Telemetry SDK (Firebase/Mixpanel)	Personal data when linked to device-ID	14 місяців GA4 default	(a) consent, (f) для crash-fix

Найчастіша slip-up: раз linked, all-else стає personal — навіть “anonymous” telemetry event “brake_applied” з timestamp + lat/lon + battery_pct, що повертається у Firebase, стає personal data, бо linked до Firebase Installation ID, що survives app reinstall на тому ж пристрої.

5. Article 5 — 7 принципів обробки

Article 5(1) перелічує 7 принципів (всі 7 одночасно — не “choose 3”):

#	Принцип	Article 5(1)(x)	E-scooter implementation
1	Lawfulness, fairness, transparency	(a)	Privacy notice in app first-launch + plain language explanation для GPS
2	Purpose limitation	(b)	GPS для ride routing — окремий purpose; GPS для R&D — окремий purpose; кожен purpose — окремий ground
3	Data minimisation	(c)	GPS sample 1-Hz → aggregated 30-s для billing; raw 1-Hz видаляється після session
4	Accuracy	(d)	User-editable profile + automated correction triggers
5	Storage limitation	(e)	90-day raw → 365-day aggregated → 5-year statistical → delete; documented retention schedule
6	Integrity + confidentiality	(f)	TLS 1.3 in transit + AES-256-GCM at rest + access control + audit logs
7	Accountability	5(2)	Article 30 RoPA + Article 35 DPIA + Article 37 DPO + DPA Article 28 with each processor

Data minimisation — найскладніший для shared-fleet операторів. Прикладний test: чи може ride end (charge calculation) бути виконано без continuous 1-Hz GPS? Так — достатньо start + end timestamps + distance odometer. Continuous 1-Hz GPS виправдано лише для (a) live fleet rebalancing, (b) crash detection, (c) anti-theft trail. Кожен з цих 3 — окремий purpose з окремою lawful basis з окремою retention.

6. Article 25 — Privacy by Design + Default

Article 25(1) — Privacy by Design — systemic obligation controller’а імплементувати “appropriate technical and organisational measures” at the time of the determination of the means і at the time of the processing itself. Article 25(2) — Privacy by Default — за замовчуванням обробляються лише persona data necessary for the specific purpose.

Концепція походить від Ann Cavoukian (Ontario Privacy Commissioner 1997-2014), Privacy by Design Foundation 1995. 7 foundational principles:

#	Principle	E-scooter application
1	Proactive not reactive	Threat-modeling privacy attacks before launch, не post-incident
2	Privacy as the default setting	New user → tracking opt-out by default; opt-in only after notice
3	Privacy embedded into design	DPIA Article 35 виконується в Sprint Planning, не в QA
4	Full functionality — positive-sum	Не “privacy vs UX” — обидва одночасно (pseudonymous analytics → product insight + zero PII)
5	End-to-end security — lifecycle protection	Cradle-to-grave: account creation → account deletion → backup expiry
6	Visibility and transparency	Open privacy notice, accessible RoPA summary, regular transparency reports
7	Respect for user privacy	User-first defaults, granular controls, easy-to-find privacy dashboard

EDPB Guidelines 4/2019 “Article 25 — Data Protection by Design and by Default” — conformance test: для кожного personal-data flow controller документує (a) які principles Article 5 застосовуються, (b) які technical measures (encryption, pseudonymisation, access control), (c) які organisational measures (training, contracts, audits), (d) які user-facing controls (privacy dashboard, consent manager, SAR portal).

7. ePrivacy Directive 2002/58/EC — BLE beacon, cookie, push

Directive 2002/58/EC (“ePrivacy”) — lex specialis до GDPR для electronic communications. Article 5(3) — обовʼязковий opt-in consent перед збереженням або доступом до інформації, що зберігається в terminal equipment користувача (на ноутбуку, телефоні, e-самокаті). Початково — “cookie directive” (тому 2009/136/EC amendment): website cookies → consent banner.

Технологічно нейтрально: те саме правило стосується БУДЬ-ЯКОЇ technology, що читає/пише terminal equipment storage. Для e-самоката це означає:

Technology	ePrivacy Article 5(3) application
App local storage (preferences, cache)	Consent needed unless strictly necessary для service requested
BLE beacon scanning (proximity advertising)	Consent — beacon reads device identifier
Push notification token (FCM/APNs)	Consent — token збережено на device
Cross-app advertising ID (IDFA/AAID)	Consent — даний identifier зчитується
GPS background access	Consent — geolocation з terminal device
Persistent app analytics SDK	Consent — persistent identifier у app storage

EDPB Guidelines 2/2023 + ICO update 2024-Q3: consent-OR-pay banner (“accept tracking OR pay €5/month”) — per se invalid per Recital 32 GDPR + Article 7(4) → consent must be freely given. Ця заборона нещодавно підтверджена в EDPB Opinion 08/2024 on Pay or Consent (17.04.2024).

ePrivacy Regulation (proposed replacement of Directive 2002/58/EC) — у legislative pipeline з 2017-Q1, досі не finalised станом на 2026-Q2 (EU Council trilogue stalled on retained-data provisions).

8. Regulation (EU) 2023/2854 EU Data Act — IoT data sharing

EU Data Act (Regulation (EU) 2023/2854) — у силі з 12.09.2025 після 20-місячного transition (publication 22.12.2023). Cвоя суть: користувач connected product (включно з e-самокатом) має право:

Access до raw та pre-processed data, що генерує device (Article 4) — наприклад, повний GPS-трек, battery cycle log, motor temperature curve.
Sharing з third party за вибором користувача (Article 5) — наприклад, з independent repair shop, з warranty третьої сторони, з академічним дослідником.
Switch з one fleet operator на another, переносячи свою data (Article 23-31).

Article 33 Data Act — technical specifications vendor зобовʼязаний підтримувати: harmonised standard (ще не finalised) АБО common data formats (поки що — Open Mobility Foundation MDS + GBFS + ISO 22095:2024 для chain-of-custody).

Стосовно e-самокатів: data Act застосовується після 12.09.2025 до усіх нових сегментів моделей, що оперують on the EU market. Existing мoдели до 11.09.2025 — у scope через 12 місяців з placing-on-market (12.09.2026 effective enforcement).

9. International privacy frameworks (non-EU)

E-scooter operators на цей момент діють у понад 40 юрисдикціях з власним privacy framework. Ключові:

Jurisdiction	Framework	In force	Key distinctive
United Kingdom	UK GDPR + Data Protection Act 2018	2018-05-25 (Brexit transitioned)	ICO regulator + Schedule 1 conditions для special categories
California	CCPA 2018 + CPRA 2020	2020-01-01 + 2023-01-01	“Sale of personal info” + “Sensitive personal info” + Cal Privacy Protection Agency CPPA
Other US	Patchwork: VCDPA, CPA, CTDPA, UCPA, TDPSA, OCPA, MCDPA, INCDPA, ICDPA, MTDPA, DPDPA, NHPA, NJDPA	2023-2025 state laws	No federal — kindly state by state
Brazil	Lei Geral de Proteção de Dados (LGPD) Lei 13.709/2018	2020-09-18	ANPD authority + closely modelled on GDPR
China	Personal Information Protection Law (PIPL)	2021-11-01	Cyberspace Administration of China (CAC) + cross-border transfer assessment Article 38
Switzerland	new Federal Act on Data Protection (nFADP)	2023-09-01	FDPIC + stronger penalties + privacy-by-default
Canada	PIPEDA + Quebec Law 25 + Bill C-27 CPPA (proposed)	2001-01-01 + 2023-09-22	Quebec PIPEDA-exempt, Quebec Law 25 obligations
Japan	APPI (Act on the Protection of Personal Information)	2003-05-30 (amended 2022)	PPC + comparable adequacy with EU 2019
South Korea	PIPA (Personal Information Protection Act)	2011-09-30	PIPC + cross-border data localisation
India	Digital Personal Data Protection Act 2023	2023-08-11 + phased	DPB India + ‘Significant Data Fiduciary’ tier
Australia	Privacy Act 1988 + APP	1988 + amendments	OAIC + Australian Privacy Principles

Серед прикладних e-самокатних brand’ів: Lime/Bird/Voi/Tier/Dott оперують в EU + UK + Switzerland + ймовірно California → необхідні paralelni GDPR + UK GDPR + nFADP + CCPA/CPRA compliance programmes; Niu/Yadea/NIU з China — додатково PIPL з Cyberspace Administration cross-border transfer assessment.

10. ISO/IEC 27701, 29100, 29134, IEEE 7002, NIST Privacy Framework

GDPR говорить що робити (правовий обовʼязок), стандарти кажуть як (operational framework):

Standard	Year	Role
ISO/IEC 27701:2019	2019-08	Privacy Information Management System (PIMS) — extension of ISO/IEC 27001 ISMS для PII processors+controllers. Article 28 GDPR processor evidence.
ISO/IEC 29100:2024	2024-Q1	Privacy framework — 11 privacy principles (consent + purpose + minimisation + use limitation + accuracy + openness + individual participation + accountability + information security + privacy compliance)
ISO/IEC 29134:2017	2017-06	Privacy Impact Assessment (PIA) guidelines — practical methodology для Article 35 GDPR DPIA
ISO/IEC 29151:2017	2017-08	Code of practice for PII protection — controls catalogue
ISO/IEC 27018:2019	2019-01	Code of practice for protection of PII in public clouds
IEEE 7002-2022	2022-09	Data Privacy Process — engineering process для embedding privacy into product development lifecycle
NIST Privacy Framework v1.0	2020-01-16	US federal voluntary — 5 Functions (Identify-P + Govern-P + Control-P + Communicate-P + Protect-P) — pair з NIST Cybersecurity Framework
NIST SP 800-53 Rev. 5	2020-09	Privacy controls Appendix J (deprecated → merged into core) — federal baseline
NIST SP 800-122	2010-04	Guide to Protecting Confidentiality of PII

ISO/IEC 27701:2019 — single most cited certification для GDPR Article 28 processor evidence: shared-fleet operator → cloud provider → telemetry SDK chain, кожна ланка з PIMS certification → evidence-stack для controller accountability per Article 5(2).

11. Article 12-22 — права суб’єкта даних

Article 12-22 — 8 окремих rights, що data subject може exercise проти controller’а у відношенні власних даних. Controller зобов’язаний відповідати протягом 1 місяця (Article 12(3), розширюваний до 3 місяців при exceptional complexity).

#	Article	Right	E-scooter typical SAR scope
1	12	Transparent information	Privacy notice prominent in app + multilingual + plain language
2	13	Information to be provided (data collected from data subject)	App onboarding privacy notice
3	14	Information indirectly obtained (e.g. from third party)	Notice when fleet acquires account via partnership
4	15	Right of access	Copy of GPS history + ride log + payment history + analytics events + cookie list + DPO contact
5	16	Right to rectification	Correct name, email, address у profile
6	17	Right to erasure (“right to be forgotten”)	Account deletion + ride history purged + backups within retention schedule
7	18	Restriction of processing	Pause processing while accuracy dispute pending
8	20	Data portability	Structured machine-readable export (JSON/CSV) of all personal data
9	21	Right to object	Opt-out of legitimate-interests processing (anti-theft monitoring)
10	22	Automated decision-making + profiling	Right to human review of ML-driven account-suspension decisions

Найскладніший — Article 20 data portability (right to transmit data to another controller in structured machine-readable format). EU Data Act 2023/2854 Article 23-31 strengthens this for IoT specifically — vendor зобовʼязаний надати interoperable export, не лише machine-readable.

EDPB Guidelines 8/2020 on Article 14 + EDPB 2/2023 on SAR scope + ICO “Subject Access Requests” guidance 2023-Q4 — canonical implementation references.

12. Article 35 DPIA — коли обовʼязкова

Article 35 GDPR — controller повинен виконати Data Protection Impact Assessment перед запуском processing “likely to result in a high risk to the rights and freedoms of natural persons”. Article 35(3) — three explicit triggers + EDPB list:

Trigger	Article 35(3)	E-scooter scenario
Systematic + extensive evaluation, including profiling, with significant effects	(a)	ML-based “risk score” for account suspension or insurance pricing
Large-scale processing of special categories (Article 9) or criminal data (Article 10)	(b)	Face unlock + driver-fitness verification + accident-related criminal data
Systematic monitoring of publicly accessible area on a large scale	(c)	Continuous GPS fleet tracking + dashcam recordings + microphone activation

EDPB Guidelines WP248 rev.01 + national DPA lists (CNIL France 2018-list, ICO UK 2023-list, BSI Germany 2021-list) — DPIA is also mandatory when: innovative use of technology (BLE proximity + face unlock + voice command combined), denial of service based on automated decision, combining/matching datasets від separate purposes, processing data of vulnerable subjects (minors with e-scooter share). ICO research 2024: ~60% complaint complaints to ICO involve cases where DPIA should have been done but wasn’t.

Methodology: ISO/IEC 29134:2017 — 5-step (initiation → identification of stakeholders + data flow → assessment of risks to data subjects + organisation → identification of measures → monitoring + review). Final output — document signed by DPO + accountable executive, retained for the lifetime of processing + 5 years after end.

13. Article 33-34 — breach notification 72h

Article 33 — controller повинен повідомити supervisory authority про personal data breach without undue delay і, where feasible, not later than 72 hours after having become aware of it. Якщо пізніше — reasoned justification.

Trigger	Article 33 application
Unauthorised access	DB SQL injection + access through compromised vendor API
Accidental loss	Lost laptop with telematics data + lost backup tape
Unauthorised disclosure	Misconfigured S3 bucket + accidental email to wrong recipient
Alteration without authorisation	Corrupted backup overwriting real data

Article 34 — if breach is likely to result in a high risk to data subjects, controller повинен повідомити data subjects themselves — “without undue delay”. Exceptions: data was already encrypted with strong key (still under controller’s control) + risk has materialised through subsequent measures + disproportionate effort (then public communication suffices).

Real timeline pattern (per ENISA Threat Landscape 2023-2024 incident analysis):

T+0h — internal detection
T+1h — incident response activation, scope assessment
T+24h — preliminary scope determined
T+48h — DPO + legal counsel + executive briefing
T+72h — Article 33 notification to lead supervisory authority (one-stop-shop Article 56)
T+5d — public statement + Article 34 notice if high risk
T+30d — preliminary post-incident review + DPA follow-up response
T+90d — final post-incident report + supervisory dialogue closure

14. International transfer — SCC + DPF + Schrems II

Chapter V (Articles 44-50) — transfer of personal data outside EEA. Three legal mechanisms:

Mechanism	Article	Application
Adequacy Decision	45	Country/territory deemed adequate by European Commission
Appropriate safeguards	46	SCC, BCR, certification, code of conduct
Derogations	49	Explicit consent, contract necessity, public interest

Як на 2026-Q2 adequacy decisions existing for: Andorra, Argentina, Canada (commercial only), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Republic of Korea (2021), Switzerland (2024 update), United Kingdom (post-Brexit 2021), Uruguay, United States (EU-US Data Privacy Framework DPF 2023-07-10 commercial-only).

Schrems I + Schrems II — landmark CJEU cases (C-362/14 + C-311/18) що invalidated Safe Harbor (2015) і Privacy Shield (2020) successively, ставлять continual jeopardy на adequacy with US. Schrems III action against DPF — пending CJEU 2026-Q4 expected ruling.

Standard Contractual Clauses — modular contractual safeguards published by Commission Decision (EU) 2021/914 of 4 June 2021 (4 modules: C2C, C2P, P2P, P2C). Combined with Transfer Impact Assessment (TIA) + supplementary measures (encryption with EEA-based key, pseudonymisation, contractual + organisational safeguards).

Для e-scooter operator що уses US-based cloud (AWS/GCP/Azure) + US-based telemetry SDK (Firebase/Mixpanel/Sentry) — SCC + TIA + DPF reliance — standard stack, але fragile (depends on Schrems III outcome).

15. Real incidents timeline 2018-2026

Дата	Подія	Юрисдикція + DPA	Outcome
2018-12	Lime data leak — internal employee misuse + unauthorised access	US California Attorney General	Inquiry closed without fine, internal policy update
2019-04	Xiaomi M365 BLE pwd “000000” + telemetry exfiltration	Internal Zimperium disclosure	Firmware patch v1.4.6
2020-06	Bird accidental disclosure of 300k user records via misconfigured GraphQL	US Federal Trade Commission	Settlement + privacy program
2021-08	Voi GDPR action (Sweden IMY) — over-retention of ride data	Sweden IMY	SEK 75M fine (~€7M) reduced on appeal
2022-02	Lime/Bird MDS data sharing with LA city — privacy advocacy backlash + court action	California Superior Court	LADOT ruling — MDS schema reduced to anonymised aggregates
2022-09	Helbiz S-1 disclosure — inadequate privacy disclosures pre-IPO	US SEC	Restatement + delisting
2023-04	Spin SOC 2 Type II achieved post-Ford acquisition + post-breach	US private audit	SOC 2 attestation + Type II re-cert
2023-11	Bolt Texas data breach — 600k accounts exposed	US Texas Attorney General	Settlement undisclosed + 2 years monitoring
2024-07	DJI Avata III geofence app PRC PIPL action (similar applicable to PRC e-scooter apps)	China CAC	Cross-border data transfer assessment Article 38
2025-03	Tier consent withdrawal — bulk SAR campaign + class action	Germany BfDI	€350k fine + privacy notice rewrite
2025-09	EU Data Act 2023/2854 effective 12.09.2025 — first IoT data-portability requests	EU-wide	Industry response — standardised export schema
2026-Q1	Apollo SDK telemetry — Onavo-style behavioural collection	Multiple DPA inquiries	Ongoing

16. Industry shift 2020→2026, DIY user privacy audit, recap

Industry shift 2020 → 2026 (8 metrics):

Metric	2020 baseline	2026 norm
Default app analytics	Persistent + opt-out	Opt-in only, granular toggle
GPS retention	Indefinite	30 діб raw + statistical aggregates
Privacy notice length	8000 words legalese	1500 words plain language + layered detail
SAR turnaround	30 days “best effort”	30 days enforced + self-service portal
DPO contact	Hidden in footer	Prominent in app + privacy dashboard
DPA Article 28	Annex generic boilerplate	Module-specific safeguards + TIA
DPIA	Often skipped	Mandatory for ML, biometrics, fleet GPS
Breach notification	Inconsistent, often delayed	72h DPA + 5d public, drilled quarterly

8-step DIY user privacy audit перед покупкою e-самоката (особисто або з-під fleet’у):

Privacy notice readable in app first-launch? Якщо буде “see website” — already a red flag.
Lawful bases listed per purpose у privacy notice? GDPR Article 13(1)(c) requires this.
GPS toggle granular (background vs foreground; trip vs anti-theft)? Якщо all-or-nothing — bad.
Analytics SDKs disclosed by name? GA4, Firebase, Mixpanel, Sentry, Amplitude — кожен з них окремо.
Data portability export available? EU Data Act Article 23+. Working “Download my data” button.
Account deletion fully purges or just soft-deletes? Right to erasure Article 17.
DPO contact (email + position) prominent? Article 37+38.
International transfers disclosed з SCC reference? Article 13(1)(f) + Chapter V.

Recap 10 points:

Privacy = окрема cross-cutting infrastructure axis #10, не subset cybersecurity.
GDPR 2016/679 — фундамент; 99 статей + 173 преамбули; €20M / 4% turnover fines.
Article 6 — 6 lawful bases, кожен purpose — окрема basis з документацією.
Article 25 — privacy by design + default; ISO/IEC 29100:2024 framework.
Article 5 — 7 principles, всі одночасно; data minimisation — найскладніший.
Article 33 — 72-hour breach notification; Article 34 — communication to data subjects.
Article 12-22 — 8 data subject rights; SAR within 1 month.
Article 35 DPIA — обовʼязковий для ML, biometrics, large-scale GPS monitoring.
International transfer — SCC + TIA + adequacy + DPF (post-Schrems II).
EU Data Act 2023/2854 — IoT data sharing + portability + repair-shop access (effective 12.09.2025).

Privacy не закінчується специфікаціями і не починається з legal notice. Це архітектурна вісь, що пронизує усі 26 попередніх engineering axes — від BMS-телеметрії, що повертається в cloud, до face-unlock biometric template у display-and-HMI, до geolocation history у anti-theft system. Якщо одна axis відсутня — privacy-compliance не може бути collected з документації. Систему треба будувати з privacy у фундаменті — за принципом Cavoukian “embedded into design, not bolted on”.