Нидерландский орган по защите данных (AP) оштрафовалкомпании Uber Technologies Inc. и Uber B.V. на сумму в €290 миллионов за нарушение GDPR.
В центре обвинений – передача личных данных из Европейской экономической зоны (ЕЭЗ) на серверы в США без должных гарантий. Отправленные данные включают в себя информацию о местоположении, фотографии, платежные реквизиты и документы, удостоверяющие личность водителей. В некоторых случаях компания также собирала криминальные и медицинские данные.
Причиной расследованияпротив компании стали жалобы более 170 французских водителей, которые обратились за помощью в правозащитную организацию Ligue des droits de l’Homme (LDH). Согласно жалобам, данные водителей были переданы нидерландскому регулятору через французское Управление по защите данных (CNIL).
В течение более 2-ух лет Uber хранила собранные данные в штаб-квартире компании в США. Регулятор отметил, что при передаче данных Uber не использовала “инструменты передачи”, что привело к недостаточной защите конфиденциальной информации. Поскольку штаб-квартира Uber за пределами США расположена в Нидерландах, именно нидерландский регулятор наложил штраф в соответствии с правилами GDPR.
Проблема возникла после того, как суд ЕС по делу Schrems II (дело Макса Шремса) признал недействительным Соглашение о правилах обмена конфиденциальной информацией между ЕС и США из-за недостаточных стандартов защиты данных в США.
Несмотря на вынесенное решение, Uber продолжала передавать данные в США, не внедрив обязательные Стандартные договорные условия (SCC) или иные меры защиты, что нарушает GDPR. Подобное нарушение ранее привело к штрафу в $1,3 миллиарда для Meta* и более $1,1 миллиона для четырёх компаний за использование Google Analytics.
Uber в свою защиту заявляет, что нормы GDPR не применимы к компании, так как регламент уже распространяет свою юрисдикцию на деятельность компании в США. Также утверждается, что передача данных, как она описана в GDPR, не происходит, поскольку пользователи сами передают свои данные на серверы в США через приложение.
AP отклонило доводы Uber, утвердив штраф. Uber выразила несогласие с решением и намерена его оспорить. Представитель компании подчеркнул, что штраф является несправедливым, так как в течение 3-ёх лет, когда между ЕС и США существовала неопределённость, Uber соблюдал требования GDPR. Компания убеждена, что в ходе апелляции “здравый смысл восторжествует”.
Процесс обжалования может затянуться на срок до 4-ёх лет, на время которого штраф будет приостановлен. Uber также настаивает, что практики обработки данных, изложенные в политике конфиденциальности компании, соответствуют нормам GDPR, а обмен данными между пользователями и компанией является неотъемлемой частью сервиса.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.