Штраф Uber за нарушение правил о защите данных составил 290 миллионов евро

Сегодня Uber был оштрафован на €290 миллионов ($324 миллиона) Нидерландским органом по защите данных (DPA) за незаконную передачу персональных данных европейских водителей в Соединенные Штаты, что нарушает регулятивные нормы Европейского союза (ЕС).

Этот штраф является актом исполнения Общего регламента по защите данных (GDPR), цель которого — защита конфиденциальности личных данных граждан ЕС.

В пресс-релизе, DPA заявляет, что действия Uber являются «серьезным нарушением» GDPR, поскольку компания не смогла должным образом обеспечить безопасность конфиденциальной информации своих европейских водителей.

Сообщается, что переданные данные включали в себя документы удостоверяющие личность, лицензии такси, данные о местоположении, платежные данные, а в некоторых случаях даже судимости и медицинские записи.

В своем пресс-релизе DPA отметило, что Uber передавал эти данные в свою американскую штаб-квартиру на протяжении более двух лет без внедрения необходимых мер безопасности. Это произошло несмотря на то, что Суд Европейского союза признал недействительным Щит конфиденциальности ЕС-США в 2020 году.

В пресс-релизе также говорится, что хотя Стандартные контрактные положения были предложены в качестве действительной альтернативы для передачи данных за пределы ЕС, эти положения требуют, чтобы на практике был обеспечен эквивалентный уровень защиты данных, что, по мнению DPA, Uber не смог обеспечить.

Однако Uber настоятельно не согласен с данным решением. «Это ошибочное решение и чрезвычайно большой штраф абсолютно необоснованы», — заявил представитель Uber Каспар Никсон в электронном письме для Reuters.

Никсон утверждал, что процессы передачи данных Uber соответствовали GDPR в течение сложного трехлетнего периода правовой неопределенности между ЕС и США. Он также указал, что компания планирует обжаловать это решение, выражая уверенность в том, что «здравый смысл восторжествует».

Другие представители индустрии критиковали этот штраф. «Самый оживленный интернет-маршрут в мире не мог просто быть приостановлен на целые три года, пока правительства работали над созданием новой правовой базы для этих потоков данных», — сказал Александр Рур, руководитель отдела политики Ассоциации компьютерной и коммуникационной индустрии в (заявлении CCIA).

Рур также выражает озабоченность по поводу штрафа, отмечая, что «ретроспективные штрафы от органов защиты данных особенно беспокоят, учитывая, что эти самые сторожевые органы защиты приватности не смогли предоставить полезные рекомендации в этот период значительной правовой неопределенности.»

Расследование, которое привело к этому штрафу, началось после того, как французская организация по правам человека подала жалобу от имени более 170 таксистов. Поскольку европейский офис Uber расположен в Нидерландах, дело было передано нидерландскому DPA.

Это не первый раз, когда Uber сталкивается с штрафами от DPA, которое ранее налагало штрафы в размере 600 000 евро в 2018 году и 10 миллионов евро в 2023 году за другие нарушения GDPR.