Uber оштрафован на 290 миллионов евро за нарушение конфиденциальности данных

Нидерландский орган по защите данных (AP) оштрафовал  компании Uber  Technologies Inc. и Uber B.V. на сумму в €290 миллионов за нарушение GDPR.

В центре обвинений — передача личных данных из Европейской экономической зоны (ЕЭЗ) на серверы в США без должных гарантий. Отправленные данные включают в себя информацию о местоположении, фотографии, платежные реквизиты и документы, удостоверяющие личность водителей. В некоторых случаях компания также собирала криминальные и медицинские данные.

Причиной расследования против компании стали жалобы более 170 французских водителей, которые обратились за помощью в правозащитную организацию Ligue des droits de l’Homme (LDH). Согласно жалобам, данные водителей были переданы нидерландскому регулятору через французское Управление по защите данных (CNIL).

В течение более 2-ух лет Uber хранила собранные данные в штаб-квартире компании в США. Регулятор отметил, что при передаче данных Uber не использовала «инструменты передачи», что привело к недостаточной защите конфиденциальной информации. Поскольку штаб-квартира Uber за пределами США расположена в Нидерландах, именно нидерландский регулятор наложил штраф в соответствии с правилами GDPR.

Проблема возникла после того, как суд ЕС по делу Schrems II (дело Макса Шремса) признал недействительным Соглашение о правилах обмена конфиденциальной информацией между ЕС и США из-за недостаточных стандартов защиты данных в США.

Несмотря на вынесенное решение, Uber продолжала передавать данные в США, не внедрив обязательные Стандартные договорные условия (SCC) или иные меры защиты, что нарушает GDPR. Подобное нарушение ранее привело к штрафу в $1,3 миллиарда для Meta* и более $1,1 миллиона для четырёх компаний за использование Google Analytics.

Uber в свою защиту заявляет, что нормы GDPR не применимы к компании, так как регламент уже распространяет свою юрисдикцию на деятельность компании в США. Также утверждается, что передача данных, как она описана в GDPR, не происходит, поскольку пользователи сами передают свои данные на серверы в США через приложение.

AP отклонило доводы Uber, утвердив штраф. Uber выразила несогласие с решением и намерена его оспорить. Представитель компании подчеркнул, что штраф является несправедливым, так как в течение 3-ёх лет, когда между ЕС и США существовала неопределённость, Uber соблюдал требования GDPR. Компания убеждена, что в ходе апелляции «здравый смысл восторжествует».

Процесс обжалования может затянуться на срок до 4-ёх лет, на время которого штраф будет приостановлен. Uber также настаивает, что практики обработки данных, изложенные в политике конфиденциальности компании, соответствуют нормам GDPR, а обмен данными между пользователями и компанией является неотъемлемой частью сервиса.