Холландската Autoriteit Persoonsgegevens (AP) издаде казна од €290 милиони против Uber во август 2024 за неовластен пренос на EU-US на лични податоци на возач — најголема GDPR казна за прекршување на пренос на податоци во EU историја. Комбинирано со 21,400+ жалби обработени во 2023, Dutch AP се утврдил како еден од Европските најконсеквенцијални органи за спроведување.
Казната против Uber: Што AP открила
Uber собра лични податоци од холандски и французки Uber возачи — вклучувајќи податоци за локација, комуникација, документи за идентификација, записи за вожење и даночни информации. Овие податоци се пренесуваа на US сервери на Uber без адекватни механизми за пренос.
Ключни наоди:
- Неадекватен механизам за пренос: Uber се потпираше на Binding Corporate Rules (BCRs) кои AP ги наоди неадекватни за волумен и чувствителност на лични податоци на возач кои се пренесуваа
- Нема Transfer Impact Assessment: Uber не спроведе TIA покажување дека US закон не ги надворешни заштитите на пренос
- Податоците на возачот се чувствителни: Податоци за локација, приходи и рејтинг за перформанси — комбинирано — омогуваат сеопфатна надзор на поединечни возачи. AP ја класифицира оваа комбинација како еквивалентна на чувствителни лични податоци кои бараат зајакнета заштита
Казната од €290M е најголема казна со едно-случај пренос на граници во EU историја на спроведување. Таа утврди дека пренос на податоци на вработени/контрактори на лични податоци до US бара иста строга TIA и суплементирана...