Огромный штраф Uber за передачу конфиденциальной информации

Оператор такси Uber наказан за передачу конфиденциальной информации водителей из ЕС. Конфиденциальная информация не была достаточно защищена. Компания намерена обжаловать штраф. Uber пострадал из-за режима правовой неопределенности при передаче конфиденциальной информации между Евросоюзом и США.

Платформа Uber оштрафована на 290 млн евро (примерно 324 млн долларов США) нидерландским надзорным органом Autoriteit Persoonsgegevens (AP), отвечающим за безопасность и конфиденциальность данных. Этот штраф наложен за несоблюдение правил GDPR - регламента Евросоюза по защите данных. AP возглавил расследование в отношении Uber, поскольку у этой компании основное европейское представительство находится в Голландии.

Штраф сервису по заказу такси стал следствием порядка 170 жалоб, которые направили водители такси Uber из Франции в 2021 году. Претензии касались безопасности персональных данных при их передаче из ЕС в США. Через организацию Ligue des droits de l’Homme (LDH) жалобы были поданы французскому надзорному органу в сфере защиты информации, а затем переданы в AP.

В пресс-релизе голландского информационного регулятора отмечается, что размер штрафа отражает всю серьезность нарушения. Согласно заявлению AP, компания Uber не смогла обеспечить безопасность данных, которые она передавала из стран ЕС в США.

Жалобы водителей такси на Uber были поданы в то время, когда между Европейским Союзом и Соединенными Штатами Америки не было утвержденного соглашения о трансфере данных. В июле 2020 г. суд ЕС отменил договор об обмене данными между Евросоюзом и Штатами, известный как Privacy Shield. Тысячи компаний опирались на него в процессе экспорта своих данных. Новый договор о передаче информации между ЕС и США был подписан только в июле 2023 г., то есть в течение трех лет существовала правовая неопределенность относительно трансграничного обмена данными. Ряд цифровых платформ, для которых данные - это основа бизнеса, пострадали в этот период. Например, компания Meta (Признана российским судом экстремистской компанией, ее деятельность запрещена на территории Российской Федерации) в мае 2023 г. получила за нарушение GDPR штраф в размере 1,2 млрд евро.

В случае с Uber нидерландский орган по защите данных заявил, что собранные и переданные данные включали такую конфиденциальную информацию водителей, как данные учетных записей, лицензии на пассажирские перевозки, данные о местоположении, фотографии, банковские реквизиты, сведения из удостоверений личности, а в ряде случаев также данные о судимости и состоянии здоровья. В сообщении AP отмечается, что в течение двух лет компания Uber передавала эту информацию, не используя необходимые инструменты защиты.

В Uber заявили, что недовольны назначенным штрафом. Компания отрицает несоблюдение законодательства о защите данных и пообещала подать в суд апелляцию на решение AP.

Источник: Techcrunch