Управление по защите данных Нидерландов (Autoriteit Persoonsgegevens, AP) оштрафовало на €290 млн компании Uber Technologies Inc. и Uber BV за нарушения Общего регламента по защите данных ЕС (General Data Protection Regulation, GDPR). Регулятор обвинил Uber в передаче персональных данных из ЕЭС на серверы в США без надлежащих мер защиты, которые сформулированы в GDPR.
Это уже третий случай, когда AP штрафует Uber. В ноябре 2018 года первый штраф в размере €600 тыс. наложили за ненадлежащий контроль доступа к данным. Второй раз Uber оштрафовали на сумму €10 млн в январе 2024 года за то, что компания не обеспечила достаточной прозрачности в отношении хранения данных европейских водителей.
AP начало расследование после жалоб французских водителей, которые направили обращения в Национальную комиссию по делам информационных технологий и правам человека Франции.
Проблема возникла после того, как Суд Европейского союза признал недействительным Соглашение о правилах обмена конфиденциальной информацией между ЕС и США из-за несовершенства стандартов защиты данных в Соединённых Штатах.
Несмотря на вынесенное решение, Uber якобы продолжила передавать персональные данные в США без соблюдения Стандартных контрактных условий (Standard Contractual Clauses, SCC) или других мер защиты. Тем самым компания нарушила 44 статью GDPR, которая требует, чтобы передача данных в третьи страны обеспечивала такой же уровень защиты, как и в ЕС.
Uber настаивает, что передача данных, как определено в GDPR, не происходит, поскольку водители предоставляют свои данные на серверы Uber в США через приложение. Представитель компании назвал решение регулятора необоснованным. Компания планирует обжаловать штраф. Процесс апелляции может занять до 4 лет, в течение которых необходимость уплаты штрафа будет приостановлена.
Источник: habr.com
