Uber оштрафовано на 324 мільйони доларів за витік даних водіїв з ЄС: основні факти

Платформа для замовлення поїздок Uber нещодавно отримала штраф у розмірі 290 мільйонів євро (приблизно 324 мільйони доларів США) від голландського регулятора з захисту даних за порушення Загального регламенту ЄС по захисту даних (GDPR). Штраф накладено за передачу персональних даних водіїв з ЄС у США, де знаходиться штаб-квартира Uber. GDPR передбачає штрафи до 4% від світового річного обороту за невиконання його вимог.

Хоча річний дохід Uber у 2023 році склав близько 34,5 мільярда євро, новий штраф, хоч і значний, все ж значно нижчий за максимальний можливий. Тим не менше, це один з найбільших штрафів, накладених на технологічну компанію з моменту набуття чинності GDPR у 2018 році. Штраф був накладений після серії скарг від більше ніж 170 водіїв Uber у Франції у 2021 році. Голландське Управління з захисту даних (Autoriteit Persoonsgegevens або AP), відповідальне за дотримання GDPR в ЄС, розпочало розслідування після того, як скарги були передані французькою правозахисною організацією Ligue des droits de l'Homme (LDH).

Раніше у січні Uber вже отримав штраф у розмірі 10 мільйонів євро за ті ж самі порушення, але новий штраф значно перевищує попередній. Він підкреслює серйозність порушення, оскільки дані водіїв, такі як інформація про рахунки, ліцензії на таксі, дані про місцезнаходження та навіть дані про судимості і стан здоров'я, передавалися в США без належного захисту.

Цей штраф відображає недостатню захищеність даних під час періоду правової невизначеності між ЄС та США, коли угода Privacy Shield була скасована в липні 2020 року, а нове угоду було підписано лише в липні 2023 року. Uber стверджує, що дотримувався вимог GDPR у цей невизначений період, але AP заперечує, що компанія не виконала вимоги GDPR.

Uber має намір оскаржити штраф, вважаючи його необґрунтованим і помилковим, і стверджує, що його процеси трансграничної передачі даних відповідали вимогам GDPR в умовах правової невизначеності. Компанія також стверджує, що AP не надала чітких вказівок щодо поліпшення процесів у цей період. Uber вважає, що з початку минулого року вона дотримується вимог GDPR, почавши використовувати нову структуру для передачі даних.