Платформе Uber наложен штраф в размере €290 000 000 (примерно $324 млн по текущему курсу) за нарушение Европейского регламента по защите персональных данных (GDPR). Санкции связаны с передачей личных данных водителей из ЕС в США, где расположен главный офис Uber.
GDPR предусматривает штрафы до 4% от ежегодного мирового дохода компании за несоблюдение норм. В 2023 году годовая выручка Uber составляла около €34,5 млрд, поэтому наложенная санкция значительно меньше максимального допустимого уровня.
Этот штраф последовал за множеством жалоб более чем от 170 водителей Uber во Франции в 2021 году. Расследованием занимался Нидерландский регулятор по защите данных (AP), который координирует соблюдение GDPR в отношении Uber, так как компания имеет основное представительство в ЕС именно в Нидерландах. AP изучил жалобы на обработку персональных данных водителей.
В январе этого года Uber уже был оштрафован на €10 млн за вопросы, касающиеся доступа к данным на основе тех же жалоб. Новый штраф значительно превосходит предыдущий и входит в число 10 крупнейших санкций, наложенных по GDPR на технологические корпорации.
Проблема с защитой данных возникла из-за программ слежки Национальной безопасности США, которые стали общеизвестны после разоблачений Эдварда Сноудена в 2013 году. Европейские суды неоднократно признавали их угрозой для прав на конфиденциальность граждан ЕС.
Американские технологические гиганты, ведущие основной объём передачи данных между ЕС и США, уже много лет оказываются в эпицентре данной проблемы. Бизнес-модели, основанные на анализе данных и хранении персональных данных, особенно подвержены правовым рискам.
«GDPR в Европе защищает фундаментальные права граждан, требуя от компаний и государственных учреждений ответственного обращения с персональными данными. К сожалению, это не всегда очевидно за пределами Европы», — отметил председатель нидерландской AP Алейд Вольфсен.
Жалобы были поданы в период, когда отсутствовала согласованная структура высокоуровневой передачи данных между ЕС и США. В июле 2020 года суд ЕС отменил механизм Privacy Shield, на который полагались многие компании для экспорта своих данных.
Новое соглашение о передаче данных между ЕС и США было заключено только в июле 2023 года, что создавало правовую неопределённость в течение трёх лет.
Цифровые компании оказались особенно уязвимы в этот период из-за их зависимости от данных. Например, в мае 2023 года Meta* была оштрафована на рекордные €1,2 млрд за нарушение GDPR.
В случае Uber регулятор указал, что собранные и передаваемые данные включали «конфиденциальную» информацию о водителях, такие как финансовые данные, лицензии на такси, данные о местоположении, фотографии, платёжные реквизиты и даже данные о судимостях и состоянии здоровья.
«В течение более двух лет Uber передавал эти данные в штаб-квартиру в США без использования специальных инструментов для передачи данных, что привело к недостаточной защите персональных данных», — сообщили в пресс-релизе AP.
Uber не согласен с наложенным штрафом и намерен подать апелляцию. Представитель компании Каспар Никсон заявил: «Это ошибочное решение и чрезмерно высокий штраф абсолютно необоснованы. Процесс передачи данных Uber соответствовал требованиям GDPR в течение трёх лет крайней правовой неопределенности между ЕС и США. Мы уверены, что здравый смысл восторжествует». Компания утверждает, что обращалась в AP за разъяснениями в период отсутствия высокоуровневого соглашения о передаче данных, но никаких чётких указаний не получила.
AP предполагает, что Uber соблюдает требования с конца прошлого года после внедрения преемника Privacy Shield. Uber утверждает, что его процессы, признанные соответствующими, остались прежними, что вызывает удивление.
В рекомендациях Европейского совета по защите данных указывается на возможность применения дополнительных мер, таких как локализация данных или использование форм шифрования с «нулевым доступом», для повышения уровня защиты вывезенных данных.
Uber утверждает, что не получил никаких указаний от AP по поводу несоответствия своих процессов требованиям GDPR. Однако AP считает, что компания должна была принять дополнительные меры по собственной инициативе.
«Компания должна была понимать необходимость принятия дополнительных мер для защиты данных. Мы не можем предоставить компании инструкцию о том, как именно это делать. Компания самостоятельно выбирает необходимые меры», — подчеркнул представитель AP.
Решение AP может привести к серьёзным последствиям для других компаний, работающих в ЕС и США. Любые компании, не обеспечивающие соответствие своим процессам требованиям GDPR, могут столкнуться с существенно высокими штрафами и иными санкциями.
Источник: iXBT