DPA, holenderski organ ochrony danych, nałożył grzywnę na firmę przewozową Uber za przesyłanie do USA danych współpracujących z nią europejskich taksówkarzy. Jest to już trzecia kara nałożona przez DPA na Ubera.
Grzywna wyniosła 290 mln euro i jest największą jak do tej pory nałożoną na firmę przewozową na terenie Unii Europejskiej, zaś sprawę wszczęto jeszcze w kwietniu 2021 r., ponad pół roku po skardze 170 francuskich taksówkarzy do francuskiej grupy zajmującej się prawami człowieka. Holenderski organ ochrony danych stwierdził, że Uber zbierał informacje o kierowcach z Europy, takie jak licencje taksówkarskie, dane o lokalizacji, a w niektórych przypadkach dane karne i medyczne, przechowywał je i przetwarzał na serwerach w USA. Dokonywał tego przez ponad dwa lata bez korzystania z narzędzi do przesyłania danych mających na celu ochronę prywatności, co oznaczało, jak stwierdziła DPA, że dane były „niewystarczająco chronione”.
Sprawą zajął się holenderski urząd ochrony danych ponieważ firma Uber Technologies jest na terenie Unii Europejskiej zarejestrowana właśnie w Holandii. Rozpoznanie trwało trzy lata ze względu na zabiegi firmy i próby odwoływania się do przyjętej wspólnie przez Unię Europejską i USA umowy EU–US Data Privacy Framework zatwierdzonej przez Komisję Europejską w lipcu 2023 r. Prawnicy Ubera próbowali udowodnić, że w świetle tej umowy prosty transfer danych osobowych z UE do USA bez żadnych zabezpieczeń jest legalny. Jeszcze obecnie rzecznik firmy Caspar Nixon stwierdził, że kara jest „całkowicie nieuzasadniona”, a Uber „będzie się odwoływał do sądu europejskiego w tej sprawie”, bowiem „proces przesyłania danych Ubera był zgodny z prawem europejskim”.
Tymczasem, jak stwierdził kierujący holenderskim organem ochrony danych Aleid Wolfsen, Uber nawet nie starał się spełnić wymogów prawa europejskiego i „zapewnić poziom ochrony danych w odniesieniu do transferów do USA”.
„To bardzo poważne (wykroczenie – red.)” – dodał.
Pierwsze skargi na takie postępowanie Ubera nastąpiły we wrześniu 2020 roku, zaś firma przez cały czas nie ukrywała tego, co robi. Według DPA, Uber zaniechał przesyłania danych do USA dopiero pod koniec zeszłego roku, kiedy sprawa już dawno się toczyła. Grzywna 290 mln euro poza tym, że jest najwyższą grzywną jaka została w ogóle nałożona przez DPA i najwyższą nałożoną na firmę przewozową, jest także trzecią grzywną od DPA dla Ubera. Wcześniej Uber otrzymał grzywnę za brak wystarczającej przejrzystości w kwestii tego, jak długo przechowywano dane europejskich kierowców i do których krajów poza Europą dane te były przekazywane. W 2018 roku Uber otrzymał grzywnę za niepoinformowanie holenderskiego organu ochrony danych na czas o naruszeniu danych. Grzywny nakładane przez europejskie organy nadzorcze ds. prywatności mogą wynieść maksymalnie 4% światowych rocznych przychodów firmy.
„Ciekawe, czy jak w procesach w Polsce będzie twierdził, że to, co zarejestrowane na miejscu, to tylko firma PR, a właściwym podmiotem do skarg jest Uber Holandia… Oh wait xD” – skomentowała ironicznie sprawę analityczka i dziennikarka zajmująca się gospodarką cyfrową Sylwia Czubkowska. Nawiązała w ten sposób do pozwu z 2017 roku dotyczącego strat poniesionych przez taksówkarzy z powodu działalności Ubera. Wtedy nie można było udowodnić bezpośrednio wysokości strat, a polskie przedstawicielstwo Ubera odsyłało skarżących do Holandii.
