Nizozemský úřad pro ochranu osobních údajů (DPA) uděluje Uberu pokutu ve výši 290 milionů eur. Nizozemský DPA zjistil, že Uber přenesl osobní údaje evropských taxikářů do Spojených států (USA) a nedokázal tyto údaje při těchto přenosech náležitě chránit. Podle nizozemského DPA to představuje závažné porušení Obecného nařízení o ochraně osobních údajů (GDPR). Mezitím Uber toto porušení napravil.

„V Evropě GDPR chrání základní práva lidí tím, že vyžaduje, aby podniky a vlády nakládaly s osobními údaji s náležitou péčí,“ říká předseda nizozemského DPA Aleid Wolfsen. „Bohužel to mimo Evropu není samozřejmostí. Myslete na vlády, které mohou ve velkém měřítku odposlouchávat data. Proto jsou podniky obvykle povinny přijmout dodatečná opatření, pokud ukládají osobní údaje Evropanů mimo Evropskou unii. Uber nesplnil požadavky GDPR na zajištění úrovně ochrany dat při přenosech do USA. To je velmi vážné.“

Citlivá data

Nizozemský DPA zjistil, že Uber shromažďoval mimo jiné citlivé informace o řidičích z Evropy a uchovával je na serverech v USA. Jedná se o údaje o účtech a taxi licence, ale také o údaje o poloze, fotografie, platební údaje, doklady totožnosti a v některých případech dokonce trestní a zdravotní údaje řidičů. Po dobu více než 2 let Uber přenášel tyto údaje do ústředí Uberu v USA, aniž by používal nástroje pro přenos. Kvůli tomu nebyla ochrana osobních údajů dostatečná.

Soudní dvůr EU v roce 2020 zneplatnil štít EU-USA na ochranu soukromí. Podle soudu by standardní smluvní doložky mohly stále poskytovat platný základ pro přenos dat do zemí mimo EU, ale pouze pokud lze v praxi zaručit rovnocennou úroveň ochrany. Protože Uber od srpna 2021 přestal používat standardní smluvní doložky, byly údaje řidičů z EU podle nizozemského DPA nedostatečně chráněny. Od konce loňského roku Uber používá nástupce štítu na ochranu soukromí.

Stížnosti od řidičů

Nizozemský DPA zahájil vyšetřování Uberu poté, co si více než 170 francouzských řidičů stěžovalo francouzské skupině pro lidská práva Ligue des droits de l’Homme (LDH), která následně podala stížnost francouzskému DPA. Podle GDPR musí podniky, které zpracovávají data ve více členských státech EU, jednat s jedním DPA: s úřadem v zemi, kde má podnik své hlavní sídlo. Evropské ústředí Uberu se nachází v Nizozemsku. Během vyšetřování nizozemský DPA úzce spolupracoval s francouzským DPA a koordinoval rozhodnutí s ostatními evropskými DPA.

Pokuta pro Uber

Všechny DPA v Evropě vypočítávají výši pokut pro podniky stejným způsobem. Tyto pokuty dosahují maximálně 4 % celosvětového ročního obratu podniku. Uber měl v roce 2023 celosvětový obrat kolem 34,5 miliardy eur. Uber vyjádřil svůj záměr proti pokutě se odvolat. Toto je třetí pokuta, kterou nizozemský DPA Uberu uděluje. Nizozemský DPA udělil Uberu pokutu ve výši 600 000 eur v roce 2018 a pokutu ve výši 10 milionů eur v roce 2023. Uber se proti této poslední pokutě odvolal.

Zdroj: autoriteitpersoonsgegevens.nl

Zdroj: eGOVERNMENT.NEWS  

​ 

Zdroj: B2B NETWORK NEWS