Платформа для заказа такси Uber была оштрафована на €290 млн (примерно $324 млн по текущему курсу) нидерландским органом по защите личной информации за нарушение Общего регламента по защите данных (GDPR) Европейского Союза, сообщилTechCrunch. Штраф накладывается в связи с передачей персональной информации водителей из Европейского Союза в США, где расположена основная часть бизнеса Uber. Согласно правилам GDPR, за несоблюдение законодательства могут быть установлены штрафы в размере до 4% от мирового годового дохода компании.
Годовой доход Uber за 2023 год составил около €34,5 млрд, так что уровень санкции значительно ниже максимума, установленного GDPR. Тем не менее, это значительная сумма и одна из крупнейших штрафов, наложенных на технологическую компанию с момента введения GDPR в 2018 году. Штраф был результатом серии жалоб, поданных более чем 170 водителями Uber во Франции в 2021 году. Нидерландский регулятор — Autoriteit Persoonsgegevens (AP), ответственный за соблюдение GDPR в отношении Uber, так как европейская штаб-квартира компании находится в Нидерландах, провел расследование этих жалоб.
Водители обратились к правозащитной организации Ligue des droits de l’Homme (LDH), которая передала жалобы французскому органу по защите данных, а затем они были перенаправлены в AP. В январе Uber уже был оштрафован на €10 млн за нарушение прав на доступ к данным по этим жалобам. Однако новый штраф, превышает предыдущий и помещает компанию в число техногигантов, получивших одни из крупнейших штрафов по GDPR, расположив её ближе к середине списка по сумме штрафов.
Размер штрафа свидетельствует о серьезности нарушения, как указало AP в своем пресс-релизе, отметив, что Uber не смогла «надлежащим образом защитить» данные, переданные за пределы ЕС, что было названо «серьезным нарушением». Проблема с защитой данных касается программ наблюдения американских национальных разведывательных служб, которые, после разоблачений информатором НСА Эдвардом Сноуденом в 2013 году, неоднократно представляли угрозу для защиты данных на конфиденциальность граждан ЕС.
Это проблематично, из-за того, что защита, предписанная GDPR, должна сопровождать данные жителей Европы, даже когда эти данные передаются за границу. Американские технологические гиганты, которые в значительной степени способствуют обмену данными между ЕС и США, уже много лет находятся в центре этого конфликта. Модели бизнеса, которые зависят от сбора данных (и, соответственно, доступа к личным данным в незащищенной форме), особенно подвержены правовым рискам, связанным с конфиденциальностью.
«В Европе GDPR защищает основные права граждан, обязывая компании и государственные учреждения ответственно обращаться с персональными данными. Но, к сожалению, эта практика не является обязательной за пределами Европы», — отметил председатель голландского Управления по защите данных Алейд Вольфсен в своем заявлении.
«Например, государственные органы могут массово получать доступ к данным. Поэтому компании часто обязаны принимать дополнительные меры предосторожности, если они обрабатывают персональные данные европейцев за пределами ЕС. Uber не соблюдала требования GDPR по обеспечению уровня защиты персональных данных при их передаче в США. Это очень серьезное нарушение».
Жалобы против Uber были поданы в то время, когда между ЕС и США не существовало согласованного механизма для передачи данных на высшем уровне. В июле 2020 года высший суд Евросоюза отменил механизм под названием Privacy Shield, на который Uber и множество других компаний полагались для законной передачи данных.
Новый договор о передаче данных между ЕС и США был принят только в июле 2023 года, что привело к трем годам правовой неопределенности в области экспорта данных. Цифровые компании были особенно уязвимы в этот период из-за характера своего бизнеса, зависящего от данных. Uber не единственная технологическая компания, столкнувшаяся с последствиями. В мае 2023 года Meta получила штраф в размере €1,2 млрд за нарушение GDPR по аналогичной причине.
Относительно Uber, голландская служба по защите данных заявила, что компания собирала и экспортировала личную информацию, включая данные учетных записей, лицензии на такси, данные о местоположении, фотографии, платежные данные, удостоверения личности, а в некоторых случаях даже криминальную и медицинскую информацию водителей. «Более двух лет Uber передавал эти данные в штаб-квартиру компании в США, не используя соответствующие механизмы для их передачи. В результате персональные данные водителей не имели должной защиты», – заявили в надзорном органе.
Uber отрицает наличие каких-либо нарушений и объявила о намерении обжаловать решение суда. Пресс-секретарь Uber, Каспер Никсон, отправил TechCrunch заявление, в котором говорится: «Это решение является ошибочным, а сам штраф — чрезмерным и несправедливым. В течение трех лет, отмеченных значительной неопределенностью между ЕС и США, процесс трансграничной передачи данных Uber соответствовал нормам GDPR. Мы планируем подать апелляцию и уверены в победе здравого смысла». Компания утверждает, что обращалась за разъяснениями к Уполномоченному по защите данных в период, когда не существовало соглашения о передаче данных между ЕС и США, но регулятор не предоставил каких-либо четких указаний.
AP утверждает, что Uber соблюдает правила с конца прошлого года, когда компания начала использовать преемника Privacy Shield. По словам Uber, те процессы, которые теперь считаются соответствующими новому соглашению о передаче данных, они использовали и ранее. По сути, их аргумент состоит в том, что юридические нормы изменились. В то же время, когда не было соглашения о передаче данных между ЕС и США, регуляторы конфиденциальности ЕС предупреждали компании о том, что они обязаны соблюдать правила экспорта данных.
Руководство Европейского совета по защите данных за этот период предоставило информацию о дополнительных мерах, которые компании должны были применять для повышения уровня защиты экспортируемых данных и обеспечения их соответствия требованиям GDPR, таких как переход на локализацию данных или применение форм шифрования «нулевого доступа», что означает, что экспортируемые данные не могут быть доступны. Пресс-секретарь Uber не смог сразу подтвердить, применяла ли компания какие-либо из таких дополнительных мер в тот период.
Ранее сообщалось, что водители Uber и Lyft в Миннесоте получат более высокую зарплату благодаря сделке между штатом и двумя компаниями из крупнейших в стране, предоставляющими услуги по перевозке пассажиров. В результате был принят новый закон, обеспечивающий определенную защиту водителей и одновременно накладывающий ограничения на правительство штата
