115 milliárd forintnyi bírság repült az Ubernek

A holland adatvédelmi hatóság 290 millió euróra (115 milliárd forint) bírságolta az Ubert az uniós általános adatvédelmi rendelet, azaz a GDPR súlyos megsértése miatt. A holland adatvédelmi hatóság (DPA) szerint a fuvarplatform éveken át továbbította európai sofőrök személyes adatait az Egyesült Államok szervereire olyan módon, ami  biztonsági szempontból nem kielégítő. Ezek többek közt taxiengedélyek, helyadatok, fizetési adatok, személyazonosító okmányok adatai, valamint az egészségügyi és bűnügyi nyilvántartásokban szereplő információk voltak. A hatóság szerint a továbbított adatok nem voltak kellően védve.

Az Uber nem felelt meg a GDPR követelményeinek, hogy biztosítsa az adatok megfelelő védelmi szintjét az Egyesült Államokba irányuló továbbítások esetén, ami nagyon súlyos incidens – kommentálta a döntést Aleid Wolfsen, a DPA elnöke.

Gyere el az AWS Hungary első felhőmigrációs rendezvényére! (x) Nemzetközi előadók, és valódi hazai tapasztalatok a személyes találkozás lehetőségével - szeptember 20-án a MagNet Házban.

A bírságot megelőző panaszt egy több mint 170 francia Uber-sofőrt tömörítő csoport nyújtotta be azzal a váddal, hogy a cég megfelelő védelem nélkül küldi adataikat az USA-ba. Mivel az Uber európai működésének központja Hollandia, így a GDPR sértés megállapítása a helyi adatvédelmi hatóságra hárult, ami korábban már két alkalommal osztott ki büntetőcédulát a cégnek.

2018-ban egy 600 ezer eurós bírság repült adatvédelmi incidens bejelentésének elmulasztása miatt, amit követett az idei év elején egy 10 millió eurós bírság, miután holland tisztviselők megállapították, hogy az Uber elmulasztotta nyilvánosságra hozni az EU-s sofőrök adataival kapcsolatos adatmegőrzési gyakorlatot, és nem volt hajlandó megnevezni, hogy mely országokba küldték az adatokat.

A legfrissebb döntés ellen fellebbezni tervez a fuvarcég, mivel szerinte a rendkívül magas bírság indokolatlan. Véleménye szerint a határokon átnyúló adatátviteli folyamata megfelelt a GDPR-nak az elmúlt három évet jellemző „EU és az USA közti bizonytalan helyzetben”, amivel a transzatlanti adatexportot szabályozó Privacy Shield körülö huzavonára utal.

Az Uber azt állítja, hogy a GDPR értelmében elvégezte a feladatát az európai polgárok adatainak védelmében – még csak az adatátviteli folyamatban sem kellett változtatásokat végrehajtania, hogy megfeleljen a legújabb szabályoknak. A fuvarmegosztó az információkat az EU és az Egyesült Államok között létrehozott adatvédelmi pajzs keretében osztotta meg, amit viszont az Európai Unió Bírósága 2020-ban érvénytelennek nyilvánított, mert nem védte megfelelően az uniós polgárokat, így már nem érvényes az akkori adatcsere-egyezmény.

Az Uber tavaly év végén kezdett az uniós szabályzásnak megfelelő adatvédelmi pajzsot alkalmazni, így a pénzbüntetést az azt megelőző időszak miatt kell kifizetnie.  A szabálytalanság két évig állt fenn, de az Uber mára megszüntette a jogsértést.