admin 
Nyderlandų privatumo priežiūros institucija už Europos Sąjungos Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimą nubaudė pavėžėjimo platformą „Uber“ – 290 mln.
Bauda susijusi su vairuotojų asmens duomenų perdavimu iš Europos Sąjungos į JAV, kur yra pagrindinė „Uber“ veikla. BDAR leidžia skirti baudas iki 4% pasaulinės metinės apyvartos už reikalavimų nesilaikymą.
„Uber“ visų metų pajamos 2023 m. buvo apie 34,5 milijardo eurų, taigi, sankcijų lygis yra gerokai mažesnis už tą didžiausią. Tačiau tai vis dar yra pastebima suma, nes ji yra viena didžiausių baudų, skirtų technologijų įmonei nuo to laiko, kai GDPR pradėjo veikti 2018 m.
Bauda buvo skirta 2021 m. daugiau nei 170 „Uber“ vairuotojų Prancūzijoje pateiktų skundų. Nyderlandų reguliavimo institucija „Autoriteit Persoonsgegevens“ (arba AP) vadovauja „Uber“ GDPR priežiūrai, nes įmonės pagrindinė buveinė yra ES. šalis. Ji tyrė skundus dėl to, kaip įmonė tvarko vairuotojų asmens duomenis. Skundai buvo pateikti per žmogaus teisių organizaciją Ligue des droits de l'Homme (LDH) Prancūzijos privatumo priežiūros tarnybai, o vėliau perduoti AP.
Sausio mėnesį Uber buvo nubausta 10 milijonų eurų bauda už duomenų prieigos teises, susijusias su tais pačiais skundais. Tačiau pirmadienį paskelbta nauja bauda sumažina ankstesnę bausmę – ji atsidūrė naujoje technologijų gigantų, kuriems skirta dešimt didžiausių GDPR baudų, sąraše, šiek tiek žemiau lentelės vidurio.
Baudos dydis atspindi pažeidimo rimtumą, teigia AP, kuri pranešime spaudai rašė, kad „Uber“ nesugebėjo „deramai apsaugoti“ duomenų, kuriuos ji perdavė iš ES, vadindama tai „rimtu pažeidimu“.
Duomenų apsaugos problema yra susijusi su JAV nacionalinės saugumo žvalgybos agentūros sekimo programomis, kurios po 2013 m. NSA informatoriaus Edwardo Snowdeno atskleidimo Europos teismai ne kartą nustatė, kad tai kelia pavojų ES žmonių duomenų apsaugai ir privatumo teisėms. Tai yra problema, nes BDAR apsauga turėtų būti naudojama kartu su europiečių duomenimis.
JAV technologijų gigantai, atsakingi už didžiąją dalį ES ir JAV duomenų srautų, iš esmės buvo įkliuvę šio konflikto viduryje. Verslo modeliams, kurie remiasi duomenų gavyba (taigi ir prieiga prie asmens duomenų aiškiai), taip pat ypač kyla teisinė privatumo rizika.
„Europoje BDAR saugo pagrindines žmonių teises, reikalaudamas, kad įmonės ir vyriausybės asmens duomenis tvarkytų tinkamai. Deja, už Europos ribų tai nėra savaime aišku“, – pranešime rašė Nyderlandų DPA pirmininkas Aleidas Wolfsenas. „Pagalvokite apie vyriausybes, kurios gali rinkti duomenis dideliu mastu. Būtent todėl įmonės dažniausiai privalo imtis papildomų priemonių, jei europiečių asmens duomenis saugo už Europos Sąjungos ribų. „Uber“ neatitiko BDAR reikalavimų užtikrinti duomenų apsaugos lygį perduodant į JAV. Tai labai rimta.”
Skundai prieš „Uber“ buvo pateikti tuo metu, kai nebuvo aukšto lygio duomenų perdavimo sistemos, dėl kurios susitarė ES ir JAV. 2020 m. liepos mėn. bloko aukščiausiasis teismas panaikino mechanizmą, žinomą kaip Privatumo skydas, kuriuo bendrovė ir tūkstančiai kitų rėmėsi suteikdama leidimą eksportuoti duomenis.
Dėl naujo ES ir JAV duomenų perdavimo susitarimo nebuvo susitarta ir jis buvo priimtas tik 2023 m. liepos mėn., ty trejus metus truko didelis teisinis neapibrėžtumas dėl duomenų eksporto.
Skaitmeninės įmonės per šį laikotarpį buvo ypač pažeidžiamos, atsižvelgiant į tai, kad jų verslas yra pagrįstas duomenimis. Ir „Uber“ nėra vienintelis technologijų milžinas, kurį nukentėjo: 2023 m. gegužę Meta buvo nubausta rekordine GDPR bauda – 1,2 mlrd. EUR dėl tos pačios pagrindinės problemos. Kelios duomenų apsaugos institucijos taip pat perspėjo nenaudoti „Google Analytics“.
„Uber“ atveju Nyderlandų duomenų apsaugos agentūra teigė, kad duomenys, kuriuos ji surinko ir eksportavo, apėmė „jautrią“ vairuotojo informaciją, įskaitant paskyros duomenis, taksi licencijas, vietos duomenis, nuotraukas, mokėjimo duomenis, tapatybės dokumentus ir kai kuriais atvejais net kriminalinius ir medicininius vairuotojų duomenis.
„Daugiau nei 2 metus Uber perdavė tuos duomenis į Uber būstinę JAV, nenaudodama perdavimo įrankių. Dėl to asmens duomenų apsauga nebuvo pakankama“, – rašoma jame.
Uberas nepatenkintas bauda. Ji neigia bet kokį reikalavimų nesilaikymą ir pažadėjo apskųsti vykdymą teisme.
„Uber“ atstovas Casparas Nixonas elektroniniu paštu išsiuntė „TechCrunch“ pareiškimą, kuriame bendrovė rašo: „Šis ydingas sprendimas ir neeilinė bauda yra visiškai nepagrįsti. „Uber“ tarpvalstybinio duomenų perdavimo procesas atitiko GDPR 3 metus trukusį didžiulį neapibrėžtumą tarp ES ir JAV. Kreipsimės į apeliaciją ir liksime tikri, kad sveikas protas nugalės“.
Bendrovė teigia, kad AP siekė gairių tuo laikotarpiu, kai nebuvo aukšto lygio ES ir JAV duomenų perdavimo susitarimo, tačiau teigia, kad reguliavimo institucija jai nepateikė jokio aiškumo, kad jos procesai turėjo problemų.
AP teigia, kad „Uber“ laikėsi reikalavimų nuo praėjusių metų pabaigos, kai pradėjo naudoti „Privacy Shield“ įpėdinį. „Uber“ teigia, kad procesai, kurie dabar laikomi atitinkančiais šią naują duomenų perdavimo sistemą, yra tie patys, kurie buvo naudojami anksčiau. Taigi iš esmės jos argumentas yra tas, kad legalūs vartų stulpai pajudėjo.
Tačiau tuo metu, kai nebuvo aukšto lygio ES ir JAV perdavimo susitarimo, bloko privatumo reguliuotojai įspėjo įmones, kurios yra atsakingos už tai, kad bet koks duomenų eksportas atitiktų taisykles.
Europos duomenų apsaugos valdybos gairėse nuo šio laikotarpio buvo pateikta informacija apie papildomas priemones, kurių duomenų priežiūros pareigūnas teigė, kad įmonėms gali tekti taikyti, kad padidintų duomenų eksporto apsaugos lygį, kad užtikrintų, jog jų duomenų srautai atitiktų BDAR, pvz., pereiti prie duomenų lokalizavimo arba taikyti formų „nulinės prieigos“ šifravimas, reiškiantis, kad negalima pasiekti eksportuotų duomenų.
„Uber“ atstovas negalėjo iš karto patvirtinti, ar per tą laikotarpį ji taikė kokių nors tokių papildomų priemonių.
