Uber Ukarał Grzywną 290 Milionów Euro za Naruszenie Prywatności Danych

Uber znalazł się na pierwszych stronach gazet dzisiaj, po tym jak został ukarany grzywną w wysokości 290 milionów euro (324 miliony dolarów) przez Holenderski Urząd Ochrony Danych (DPA) za bezprawne przekazywanie danych osobowych europejskich kierowców do Stanów Zjednoczonych, co stanowi naruszenie przepisów Unii Europejskiej (UE).

Kara ta jest egzekucją Ogólnego Rozporządzenia o Ochronie Danych (GDPR), którego celem jest ochrona prywatności osób fizycznych w ramach UE.

W swoim komunikacie prasowym, DPA stwierdziła, że działania Ubera stanowią „poważne naruszenie” RODO, ponieważ firma nie zapewniła odpowiedniej ochrony wrażliwych informacji swoich europejskich kierowców.

Zgodnie z doniesieniami organów nadzoru, jak podaje Reuters, przeniesione dane obejmowały dokumenty tożsamości, licencje taksówkarskie, dane lokalizacyjne, szczegóły płatności, a w niektórych przypadkach, nawet zapisy kryminalne i medyczne.

W swoim komunikacie prasowym, DPA zauważyło, że Uber przez ponad dwa lata przekazywał te dane do swojej centrali w USA, nie wprowadzając niezbędnych środków ostrożności. Ten brak ochrony wystąpił mimo unieważnienia przez Trybunał Sprawiedliwości UE tzw. Privacy Shield (Tarczy Ochronnej Prywatności) między UE a USA w 2020 roku.

W komunikacie prasowym wspomniano również, że mimo iż Standardowe Klauzule Umowne były sugerowane jako ważna alternatywa dla przekazywania danych poza UE, klauzule te wymagają zapewnienia w praktyce odpowiedniego poziomu ochrony danych, czego Uber, według DPA, nie zdołał osiągnąć.

Uber jednak stanowczo nie zgadza się z wyrokiem. „Ta wadliwa decyzja i nadzwyczajna grzywna są całkowicie nieuzasadnione”, powiedział rzecznik Ubera, Caspar Nixon, w e-mailu do Reutersa.

Nixon argumentował, że procesy transferu danych Ubera były zgodne z RODO w trudnym trzyletnim okresie prawnej niepewności między UE a USA. Wskazał również, że firma planuje odwołać się od decyzji, wyrażając przekonanie, że „zdrowy rozsądek zwycięży”.

Jak podaje AP, Computer & Communications Industry Association (CCIA), grupa adwokacka dla firm technologicznych, skrytykowała karę, biznes online po wyroku Trybunału UE w 2020 roku.

„Najbardziej ruchliwa trasa internetowa na świecie nie mogła zostać po prostu zawieszona na trzy pełne lata, podczas gdy rządy pracowały nad ustanowieniem nowego ramowego prawa dla tych przepływów danych,” powiedział Alexandre Roure, europejski szef polityki stowarzyszenia, w komunikacie prasowym CCIA.

Roure wyraziła również obawy w związku z nałożoną grzywną, zauważając, że „retrospektywne kary finansowe nałożone przez organy ochrony danych są szczególnie niepokojące, biorąc pod uwagę, że te same organy monitorujące prywatność nie udzieliły pomocnych wytycznych w tym okresie znaczącej niepewności prawnej, wobec braku jasnej ramy prawnej”

Jak donosi Reuters, śledztwo, które doprowadziło do nałożenia tej grzywny, rozpoczęło się po złożeniu skargi przez francuską organizację praw człowieka w imieniu ponad 170 taksówkarzy. Ponieważ europejska siedziba Ubera znajduje się w Holandii, sprawa została przekazana do holenderskiego DPA.

Stacja BBC również informuje, że to nie pierwszy raz, kiedy Uber został ukarany przez DPA, która wcześniej nałożyła na niego kary w wysokości 600 000 euro w 2018 roku i 10 milionów euro w 2023 roku za inne naruszenia RODO.

Sprawa Ubera rozpoczęła szerszą debatę na temat równowagi między ochroną danych a potrzebą międzynarodowego przepływu danych. Decyzja DPA podkreśla znaczenie przestrzegania RODO, ale również stawia pytania o potencjalne konsekwencje dla firm działających w globalizowanej gospodarce cyfrowej.