Hollandi Autoriteit Persoonsgegevens (AP) andis augustis 2024 välja 290 miljoni euro suuruse trahvi Uber vastu autoriseerimata Euroopa-USA andmeülekande eest, mis hõlmas juhi isikandmeid — suurim GDPR rahe andmeülekande rikkumise eest EU ajaloos. Koos 21 400+ kaebusega, mida töödeldi 2023. aastal, on Hollandi AP kinnitanud end kui üks Euroopa mõjukamatest regulatsioonidest.
Uber trahv: mida AP leidis
Uber kogus Hollandi ja Prantsuse Uber juhid isikuandmeid — kaasa arvatud asukohaandmeid, suhtlust, dokumente, juhtimiskandameid ja maksuteavet. Neid andmeid edastati Uberi USA serveritesse ilma piisavate edastamismehhhanismideta.
Peamised leiud:
- Ebapiisav edastamismehhanism: Uber tugines kohesugulisele Corporate Rules-i (BCRs), mida AP pidas ebapiisavaks juhide isikandmete mahule ja tundlikkusele edastamiseks
- Puudub edastamise mõjuanalüüs: Uber ei läbi teinud TIA (Transfer Impact Assessment), mis näitaks, et USA õigus ei alusta edastamiste kaitse
- Juhi andmed on tundlikud: Asukohaandmed, sissetulekuandmed ja jõudluseariandmed — kombinatsioonis — võimaldavad igaühe juhti jälgimist. AP klassifitseeris selle kombinatsiooni tundlike isikuandmete samaväärseks ja nõudis suuremahulist kaitset
290 miljoni euro trahv on EU ajaloos suurim üksikjuhtumi kaistus andmeedastuse rikkumise eest. See kinnitab, et andmeedastus töötaja/töövõtjate isikuandmete USA-sse nõuab sama rangeid TIA ja täiendavaid meetmeid nagu rahvusvaheliste edastamismehhhanismide kasutamine.
Hollandi AP prioriteedid ja jõud
Hollandi AP on üheks Euroopa mõjukamatest andmekaitseasutustest, kus:
- Uuringud keskenduvad peamiselt andmeülekandele ja töötaja jälgimisele
- 21 400+ kaebusega 2023. aastal on AP moodustanud pöördumismaatriksi
- Inglise keeles olev juhised on muutunud Euroopa standardiks
Allikad: