Πρόστιμο 290 εκατομμυρίων ευρών επέβαλε η ολλανδική αρχή προστασίας δεδομένων Autoriteit Persoonsgegevens (ΑΡ) στην Uber. Η ολλανδική αρχή διαπίστωσε πως η Uber διαβίβαζε προσωπικά δεδομένα ευρωπαίων οδηγών ταξί στις Ηνωμένες Πολιτείες, χωρίς να έχει λάβει τα κατάλληλα μέτρα για τη διασφάλιση των διαβιβάσεων αυτών. Σύμφωνα με την AP, η πρακτική αυτή συνιστά σοβαρή παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων. Πλέον, η Uber έχει διακόψει την παραβίαση αυτή.
«Στην Ευρώπη, ο ΓΚΠΔ προστατεύει τα θεμελιώδη δικαιώματα των πολιτών, απαιτώντας από εταιρείες και δημόσιες αρχές να χειρίζονται τα προσωπικά δεδομένα με τη δέουσα επιμέλεια», αναφέρει ο πρόεδρος της AP Aleid Wolfsen. «Αυτό, δυστυχώς, δεν είναι αυτονόητο και εκτός Ευρώπης. Σκεφθείτε πώς οι κυβερνήσεις μπορούν να αποκτήσουν πρόσβαση στα δεδομένα σε μεγάλη κλίμακα. Αυτός είναι ο λόγος για τον οποίο οι επιχειρήσεις έχουν συνήθως την υποχρέωση να λαμβάνουν πρόσθετα μέτρα, όταν αποθηκεύουν προσωπικά δεδομένα ευρωπαίων πολιτών εκτός Ευρωπαϊκής Ένωσης. Η Uber δεν εκπλήρωσε τις απαιτήσεις του ΓΚΠΔ για τη διασφάλιση του επιπέδου προστασίας των δεδομένων ως προς τις διαβιβάσεις στις ΗΠΑ. Αυτό είναι ιδιαίτερα σοβαρό».
Ευαίσθητα δεδομένα
Η ολλανδική εποπτική αρχή διαπίστωσε πως η Uber συνέλεξε, μεταξύ άλλων, ευαίσθητα δεδομένα των οδηγών από την Ευρώπη, τα οποία διατηρούσε σε servers στις Ηνωμένες Πολιτείες. Η διατήρηση αυτή αφορούσε στοιχεία λογαριασμών και άδειες για ταξί, καθώς και δεδομένα τοποθεσίας, φωτογραφίες, στοιχεία πληρωμών, ταυτότητες, ενώ σε κάποιες περιπτώσεις περιελάμβανε ακόμη και ποινικά ή ιατρικά δεδομένα των οδηγών.
Η διαβίβαση των δεδομένα αυτών στα κεντρικά γραφεία της Uber στις ΗΠΑ γινόταν για χρονικό διάστημα 2 ετών, χωρίς να έχουν χρησιμοποιηθεί τα κατάλληλα εργαλεία διαβιβάσεων, με αποτέλεσμα η προστασία των προσωπικών δεδομένων να είναι ανεπαρκής. Το Δικαστήριο της Ευρωπαϊκής Ένωσης ακύρωσε τη συμφωνία Privacy Shield μεταξύ ΕΕ-ΗΠΑ το 2020.
Σύμφωνα με το Δικαστήριο, οι Τυποποιημένες Συμβατικές Ρήτρες θα μπορούσαν να παρέχουν μια έγκυρη βάση για τη διαβίβαση δεδομένων σε χώρες εκτός ΕΕ, υπό την προϋπόθεση πως θα εξασφαλιζόταν ένα αντίστοιχο επίπεδο προστασίας των δεδομένων στην πράξη.
Δεδομένου πως η Uber δεν χρησιμοποιούσε Τυποποιημένες Συμβατικές Ρήτρες ήδη από τον Αύγουστο του 2021, η ολλανδική αρχή έκρινε πως η προστασία των δεδομένων των ευρωπαίων οδηγών δεν ήταν επαρκής.
Διαμαρτυρίες από οδηγούς
Η έρευνα της ολλανδικής αρχής ξεκίνησε μετά από τη διαμαρτυρία 170 Γάλλων οδηγών στη γαλλική οργάνωση Ligue des droits de l’Homme (LDH), η οποία με τη σειρά της υπέβαλε καταγγελία στη γαλλική αρχή προστασίας δεδομένων CNIL.
Σύμφωνα με τον ΓΚΠΔ, οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα σε περισσότερα του ενός κράτη μέλη της Ένωσης λογοδοτούν σε μια μόνο εποπτική αρχή, σε αυτή της χώρες όπου βρίσκεται η κύρια εγκατάστασή τους. Δεδομένου πως τα ευρωπαϊκά γραφεία της Uber βρίσκονται στην Ολλανδία, την έρευνα ανέλαβε η ολλανδική αρχή προστασίας δεδομένων, η οποία συνεργάστηκε στενά με την CNIL, αλλά και άλλες αρχές προστασίας δεδομένων της Ένωσης.
Πρόστιμο για την Uber
Τα πρόστιμα που επιβάλλονται από τις εποπτικές αρχές του ΓΚΠΔ σε επιχειρήσεις υπολογίζεται με τον ίδιο τρόπο. Τα πρόστιμα αυτά ανέρχονται μέχρι το 4% του παγκοσμίου κύκλου εργασιών μιας επιχείρησης, ο οποίος στην περίπτωση της Uber ήταν 34.5 δισεκατομμύρια ευρώ για το 2023.
Η Uber έχει εκφράσει την πρόθεσή της να προσβάλει το πρόστιμο.
Πρόκειται για το τρίτο πρόστιμο που επιβάλλεται από την AP στην Uber. Το 2018, η ολλανδική αρχή επέβαλε πρόστιμο 600.000 ευρώ, για να ακολουθήσει νέο πρόστιμο ύψους 10.000.000 ευρώ το 2023.