Holandsko tijelo za zaštitu podataka (DPA) kaznilo je Uber s rekordnih 290 miliona eura (324 miliona dolara) zbog navodnog nepoštovanja standarda zaštite podataka Evropske unije (EU) prilikom slanja osjetljivih podataka o vozačima u SAD
“Holandski DPA je otkrio da je Uber prenio lične podatke evropskih taksista u Sjedinjene Države (SAD) i nije uspio na odgovarajući način zaštititi podatke u vezi s tim transferima”, navodi agencija .
Nadzorni organ za zaštitu podataka rekao je da ovaj potez predstavlja “ozbiljno” kršenje Opšte uredbe o zaštiti podataka (GDPR). Kao odgovor, služba za dopremanje, kurirska služba i dostava hrane prekinula je praksu.
Vjeruje se da je Uber prikupljao osjetljive informacije o vozačima i čuvao ih na serverima u SAD-u više od dvije godine. Ovo je uključivalo detalje računa i taksi dozvole, podatke o lokaciji, fotografije, podatke o plaćanju i lične dokumente. U nekim slučajevima je sadržavao i kriminalne i medicinske podatke o vozačima.
DPA je optužio Uber da obavlja prenos podataka bez korištenja odgovarajućih mehanizama , posebno imajući u vidu da je EU poništila EU-US Privacy Shield 2020. godine. Zamjena , poznata kao EU-SAD Okvir privatnosti podataka, najavljena je u julu 2023. godine.
“Budući da Uber više nije koristio Standardne ugovorne klauzule od avgusta 2021. godine, podaci vozača iz EU nisu bili dovoljno zaštićeni, navodi holandski DPA”, navodi agencija. “Od kraja prošle godine Uber koristi nasljednika Privacy Shield-a.”
U izjavi koju je podijelio s Bloombergom, Uber je rekao da je kazna “potpuno neopravdana” i da namjerava osporiti tu odluku. Nadalje, navodi se da je proces prekograničnog prijenosa podataka u skladu s GDPR-om.
Ranije ove godine, DPA je kaznio Uber sa 10 miliona eura zbog toga što nije otkrio sve detalje o svojim periodima čuvanja podataka o evropskim vozačima i neevropskim zemljama kojima dijeli podatke.
“Uber je nepotrebno zakomplikovao vozače da podnose zahtjeve za pregled ili primanje kopija njihovih ličnih podataka”, napomenuo je DPA u januaru 2024.
„Osim toga, nisu precizirali u svojim uslovima i odredbama o privatnosti koliko dugo Uber čuva lične podatke svojih vozača ili koje specifične sigurnosne mere preduzima kada ove informacije šalje subjektima u zemljama izvan [Evropskog ekonomskog prostora].“
Ovo nije prvi put da su američke kompanije našle na nišanu vlasti EU za zaštitu podataka zbog nedostatka ekvivalentne zaštite privatnosti u SAD-u u pogledu prenosa podataka iz EU, što je izazvalo zabrinutost da bi podaci europskih korisnika mogli biti predmet američkih programa nadzora.
Austrijski i francuski regulatori su još 2022. godine presudili da je transatlantsko kretanje podataka Google Analytics kršenje GDPR zakona.
“Pomislite na vlade koje mogu prisluškivati podatke u velikom obimu,” rekao je predsjedavajući DPA Aleid Wolfsen. „Zato su preduzeća obično obavezna da poduzmu dodatne mjere ako čuvaju lične podatke Evropljana izvan Evropske unije.
Izvor: TheHackerNews