SG.hu
290 millió eurós bírságot kapott Hollandiában az Uber
Az Uber fuvarmegosztó platformot 290 millió eurós bírsággal sújtotta a holland adatvédelmi hatóság, amiért megsértette az Európai Unió általános adatvédelmi rendeletét (GDPR).
A büntetés a sofőrök személyes adatainak az Európai Unióból az Egyesült Államokba - ahol az Uber székhelye található - történő továbbításával kapcsolatos. A GDPR a globális éves árbevétel akár 4%-áig terjedő bírság kiszabását teszi lehetővé a szabályok be nem tartása esetén. Az Uber 2023-as egész éves bevétele mintegy 34,5 milliárd euró volt, így a szankció mértéke jóval e maximum alatt van. Mindazonáltal még mindig figyelemre méltó összeg, mivel ez az egyik legnagyobb büntetés, amelyet egy technológiai vállalatra szabtak ki a GDPR 2018-as működése óta.
A bírság több mint 170 franciaországi Uber-sofőr által még 2021-ben benyújtott panaszsorozat eredménye. A holland szabályozó hatóság, az Autoriteit Persoonsgegevens (AP) felelős az Uber tevékenységéért, mivel a vállalat uniós telephelye Hollandiában van. A hatóság megvizsgálta a panaszokat azzal kapcsolatban, hogy a vállalat hogyan dolgozza fel a sofőrök személyes adatait. A panaszokat egy emberi jogi szervezeten, a Ligue des droits de l'Homme (LDH) keresztül nyújtották be a francia adatvédelmi felügyelethez, majd továbbították az AP-hez. Januárban az Ubert 10 millió eurós bírsággal sújtották az ugyanezen panaszokkal kapcsolatos adathozzáférési jogok miatt, a ma bejelentett új bírság azonban eltörpül a korábbi büntetés mellett. Ezzel az Uber új helyet kapott a 10 legnagyobb GDPR-bírsággal sújtott technológiai óriáscég listáján.
A büntetés nagysága tükrözi a jogsértés súlyosságát. Az AP sajtóközleményében azt írta, hogy az Uber nem biztosította „megfelelően” az EU-n kívülre továbbított adatokat - ezt „súlyos jogsértésnek” nevezte. "Európában a GDPR védi az emberek alapvető jogait, mivel megköveteli a vállalkozásoktól és a kormányoktól, hogy kellő gondossággal kezeljék a személyes adatokat. Sajnos azonban ez Európán kívül nem magától értetődő” - írta a közleményben Aleid Wolfsen, a holland adatvédelmi hatóság elnöke. "Gondoljunk csak azokra a kormányokra, amelyek nagymértékben megcsapolhatják az adatokat. Ezért a vállalkozások általában kötelesek további intézkedéseket hozni, ha az Európai Unión kívül tárolják az európaiak személyes adatait. Az Uber nem teljesítette a GDPR követelményeit az adatok védelmi szintje tekintetében az Egyesült Államokba történő adattovábbítás során. Ez nagyon súlyos vétség.”
Az Uber elleni panaszok egy olyan időszakban születtek, amikor nem volt az EU és az USA között elfogadott magas szintű adattovábbítási keretrendszer. 2020 júliusában az EU legfelsőbb bírósága megsemmisítette a Privacy Shield néven ismert mechanizmust, amelyre a vállalat - és több ezer más vállalat - támaszkodott adatexportjának engedélyezésében. Az EU és az USA közötti új adattovábbítási megállapodásról csak 2023 júliusában született megállapodás, és azt csak 2023 júliusában fogadták el - ami azt jelenti, hogy az adatexport körül három évig nagyfokú jogbizonytalanság uralkodott. A digitális vállalatok különösen ki voltak téve ennek az időszaknak, tekintettel üzleti tevékenységük adatvezérelt jellegére. És nem az Uber az egyetlen technológiai óriás, amelyik megszenvedte: a Meta 2023 májusában rekordösszegű, 1,2 milliárd eurós GDPR-büntetést kapott ugyanezen alapvető probléma miatt. Több adatvédelmi hatóság is figyelmeztetett a Google Analytics használatára.
Az Uber esetében a holland adatvédelmi hatóság szerint a cég általa gyűjtött és exportált adatok „érzékeny” személyes adatokat tartalmaztak, többek között számlaadatokat, taxiengedélyeket, helymeghatározási adatokat, fényképeket, fizetési adatokat, személyazonosító okmányokat és egyes esetekben még a sofőrök bűnügyi és egészségügyi adatait is. "Az Uber több mint 2 éven keresztül továbbította ezeket az adatokat az Uber amerikai központjába úgy, hogy a személyes adatok védelme nem volt megfelelő” - írta a testület.
Az Uber nem örül a büntetésnek. A társaság tagadja, hogy nem tartotta volna be a szabályokat, és közölte, hogy bírósági fellebbezést nyújt be a végrehajtás ellen. Az Uber szóvivője, Caspar Nixon közölte: „Ez a hibás döntés és a rendkívüli bírság teljesen indokolatlan. Az Uber határokon átnyúló adattovábbítási folyamata megfelelt a GDPR-nak az EU és az USA közötti hatalmas bizonytalansággal teli 3 éves időszak alatt. Fellebbezni fogunk, és bízunk abban, hogy a józan ész győzedelmeskedni fog”. A vállalat azt állítja, hogy abban az időszakban, amikor nem volt magas szintű EU és USA közötti adattovábbítási megállapodás, útmutatást kért az AP-től, de azt állítja, hogy a szabályozó hatóság nem adott neki egyértelmű tájékoztatást arról, hogy problémái vannak a folyamataival.
Az AP szerint az Uber tavaly év vége óta megfelel a követelményeknek, akkor kezdte el használni a Privacy Shield utódját. Az Uber azt állítja, hogy az új adattovábbítási keretrendszerben most már megfelelőnek tekintett folyamatok ugyanazok, amelyeket korábban is használt. Az érvelése tehát alapvetően az, hogy a jogi helyzet megváltozott. Az adatbiztonsági probléma az amerikai nemzetbiztonsági hírszerző ügynökségek megfigyelési programjaival kapcsolatos, amelyekről - az NSA informátorának, Edward Snowdennek a 2013-as nyilvánosságra hozatalát követően - az európai bíróságok többször megállapították, hogy veszélyeztetik az uniós polgárok adatvédelmi és magánélethez fűződő jogait. Ez azért probléma, mert a GDPR-védelemnek az európaiak adataival együtt kellene utaznia.
Az amerikai technológiai óriások, amelyek az EU és az USA közötti adatforgalom nagy részéért felelősek, lényegében évek óta ennek az összecsapásnak a közepén állnak. Az adatbányászatra (és így a személyes adatokhoz való nyílt hozzáférésre) épülő üzleti modellek szintén különösen ki vannak téve az adatvédelmi jogi kockázatnak. Abban az időszakban, amikor nem volt magas szintű EU és USA közötti adattovábbítási megállapodás, Európa adatvédelmi szabályozó hatóságai figyelmeztették a vállalatokat, hogy ők a felelősek azért, hogy az adatexport megfeleljen a szabályoknak. Az Európai Adatvédelmi Testület ebben az időszakban kiadott iránymutatása tájékoztatást adott a vállalatoknak azon intézkedésekről, amelyeket az adatexport védelmi szintjének emelése érdekében alkalmazniuk kell annak érdekében, hogy az adatáramlásuk megfeleljen a GDPR-nak. Ilyen például az adatok lokalizálására való áttérés vagy a titkosítás olyan formáinak alkalmazása, amelyek biztosítják, hogy az exportált adatokhoz nem lehet hozzáférni.
A büntetés a sofőrök személyes adatainak az Európai Unióból az Egyesült Államokba - ahol az Uber székhelye található - történő továbbításával kapcsolatos. A GDPR a globális éves árbevétel akár 4%-áig terjedő bírság kiszabását teszi lehetővé a szabályok be nem tartása esetén. Az Uber 2023-as egész éves bevétele mintegy 34,5 milliárd euró volt, így a szankció mértéke jóval e maximum alatt van. Mindazonáltal még mindig figyelemre méltó összeg, mivel ez az egyik legnagyobb büntetés, amelyet egy technológiai vállalatra szabtak ki a GDPR 2018-as működése óta.
A bírság több mint 170 franciaországi Uber-sofőr által még 2021-ben benyújtott panaszsorozat eredménye. A holland szabályozó hatóság, az Autoriteit Persoonsgegevens (AP) felelős az Uber tevékenységéért, mivel a vállalat uniós telephelye Hollandiában van. A hatóság megvizsgálta a panaszokat azzal kapcsolatban, hogy a vállalat hogyan dolgozza fel a sofőrök személyes adatait. A panaszokat egy emberi jogi szervezeten, a Ligue des droits de l'Homme (LDH) keresztül nyújtották be a francia adatvédelmi felügyelethez, majd továbbították az AP-hez. Januárban az Ubert 10 millió eurós bírsággal sújtották az ugyanezen panaszokkal kapcsolatos adathozzáférési jogok miatt, a ma bejelentett új bírság azonban eltörpül a korábbi büntetés mellett. Ezzel az Uber új helyet kapott a 10 legnagyobb GDPR-bírsággal sújtott technológiai óriáscég listáján.
A büntetés nagysága tükrözi a jogsértés súlyosságát. Az AP sajtóközleményében azt írta, hogy az Uber nem biztosította „megfelelően” az EU-n kívülre továbbított adatokat - ezt „súlyos jogsértésnek” nevezte. "Európában a GDPR védi az emberek alapvető jogait, mivel megköveteli a vállalkozásoktól és a kormányoktól, hogy kellő gondossággal kezeljék a személyes adatokat. Sajnos azonban ez Európán kívül nem magától értetődő” - írta a közleményben Aleid Wolfsen, a holland adatvédelmi hatóság elnöke. "Gondoljunk csak azokra a kormányokra, amelyek nagymértékben megcsapolhatják az adatokat. Ezért a vállalkozások általában kötelesek további intézkedéseket hozni, ha az Európai Unión kívül tárolják az európaiak személyes adatait. Az Uber nem teljesítette a GDPR követelményeit az adatok védelmi szintje tekintetében az Egyesült Államokba történő adattovábbítás során. Ez nagyon súlyos vétség.”
Az Uber elleni panaszok egy olyan időszakban születtek, amikor nem volt az EU és az USA között elfogadott magas szintű adattovábbítási keretrendszer. 2020 júliusában az EU legfelsőbb bírósága megsemmisítette a Privacy Shield néven ismert mechanizmust, amelyre a vállalat - és több ezer más vállalat - támaszkodott adatexportjának engedélyezésében. Az EU és az USA közötti új adattovábbítási megállapodásról csak 2023 júliusában született megállapodás, és azt csak 2023 júliusában fogadták el - ami azt jelenti, hogy az adatexport körül három évig nagyfokú jogbizonytalanság uralkodott. A digitális vállalatok különösen ki voltak téve ennek az időszaknak, tekintettel üzleti tevékenységük adatvezérelt jellegére. És nem az Uber az egyetlen technológiai óriás, amelyik megszenvedte: a Meta 2023 májusában rekordösszegű, 1,2 milliárd eurós GDPR-büntetést kapott ugyanezen alapvető probléma miatt. Több adatvédelmi hatóság is figyelmeztetett a Google Analytics használatára.
Az Uber esetében a holland adatvédelmi hatóság szerint a cég általa gyűjtött és exportált adatok „érzékeny” személyes adatokat tartalmaztak, többek között számlaadatokat, taxiengedélyeket, helymeghatározási adatokat, fényképeket, fizetési adatokat, személyazonosító okmányokat és egyes esetekben még a sofőrök bűnügyi és egészségügyi adatait is. "Az Uber több mint 2 éven keresztül továbbította ezeket az adatokat az Uber amerikai központjába úgy, hogy a személyes adatok védelme nem volt megfelelő” - írta a testület.
Az Uber nem örül a büntetésnek. A társaság tagadja, hogy nem tartotta volna be a szabályokat, és közölte, hogy bírósági fellebbezést nyújt be a végrehajtás ellen. Az Uber szóvivője, Caspar Nixon közölte: „Ez a hibás döntés és a rendkívüli bírság teljesen indokolatlan. Az Uber határokon átnyúló adattovábbítási folyamata megfelelt a GDPR-nak az EU és az USA közötti hatalmas bizonytalansággal teli 3 éves időszak alatt. Fellebbezni fogunk, és bízunk abban, hogy a józan ész győzedelmeskedni fog”. A vállalat azt állítja, hogy abban az időszakban, amikor nem volt magas szintű EU és USA közötti adattovábbítási megállapodás, útmutatást kért az AP-től, de azt állítja, hogy a szabályozó hatóság nem adott neki egyértelmű tájékoztatást arról, hogy problémái vannak a folyamataival.
Az AP szerint az Uber tavaly év vége óta megfelel a követelményeknek, akkor kezdte el használni a Privacy Shield utódját. Az Uber azt állítja, hogy az új adattovábbítási keretrendszerben most már megfelelőnek tekintett folyamatok ugyanazok, amelyeket korábban is használt. Az érvelése tehát alapvetően az, hogy a jogi helyzet megváltozott. Az adatbiztonsági probléma az amerikai nemzetbiztonsági hírszerző ügynökségek megfigyelési programjaival kapcsolatos, amelyekről - az NSA informátorának, Edward Snowdennek a 2013-as nyilvánosságra hozatalát követően - az európai bíróságok többször megállapították, hogy veszélyeztetik az uniós polgárok adatvédelmi és magánélethez fűződő jogait. Ez azért probléma, mert a GDPR-védelemnek az európaiak adataival együtt kellene utaznia.
Az amerikai technológiai óriások, amelyek az EU és az USA közötti adatforgalom nagy részéért felelősek, lényegében évek óta ennek az összecsapásnak a közepén állnak. Az adatbányászatra (és így a személyes adatokhoz való nyílt hozzáférésre) épülő üzleti modellek szintén különösen ki vannak téve az adatvédelmi jogi kockázatnak. Abban az időszakban, amikor nem volt magas szintű EU és USA közötti adattovábbítási megállapodás, Európa adatvédelmi szabályozó hatóságai figyelmeztették a vállalatokat, hogy ők a felelősek azért, hogy az adatexport megfeleljen a szabályoknak. Az Európai Adatvédelmi Testület ebben az időszakban kiadott iránymutatása tájékoztatást adott a vállalatoknak azon intézkedésekről, amelyeket az adatexport védelmi szintjének emelése érdekében alkalmazniuk kell annak érdekében, hogy az adatáramlásuk megfeleljen a GDPR-nak. Ilyen például az adatok lokalizálására való áttérés vagy a titkosítás olyan formáinak alkalmazása, amelyek biztosítják, hogy az exportált adatokhoz nem lehet hozzáférni.