Hollanda’nın gizlilik düzenleyicisi, araç paylaşım platformu Uber’e Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal ettiği gerekçesiyle 290 milyon avro (güncel döviz kuruyla yaklaşık 324 milyon dolar) para cezası kesti.
Ceza, sürücülerin kişisel verilerinin Avrupa Birliği’nden Uber’in ana faaliyet alanının bulunduğu ABD’ye aktarılmasıyla ilgilidir. GDPR, uyumsuzluk durumunda küresel yıllık cirodan %4’e kadar para cezası verilmesine izin verir.
Uber’in 2023 yılı tam yıllık geliri yaklaşık 34,5 milyar avroydu — bu nedenle yaptırım seviyesi bu maksimumun çok altında. Ancak, GDPR’nin 2018’de yürürlüğe girmesinden bu yana bir teknoloji şirketine uygulanan en büyük cezalardan biri olduğu için yine de dikkate değer bir miktar.
Para cezası, 2021’de Fransa’da 170’ten fazla Uber sürücüsünün yaptığı bir dizi şikayetin sonucudur. Hollandalı düzenleyici, Autoriteit Persoonsgegevens (veya AP), şirketin ülkede ana AB kuruluşuna sahip olması nedeniyle Uber’in GDPR denetimine öncülük ediyor. Şirketin sürücülerin kişisel verilerini nasıl işlediğiyle ilgili şikayetleri araştırdı. Şikayetler, bir insan hakları örgütü olan Ligue des droits de l’Homme (LDH) aracılığıyla Fransa’nın gizlilik gözlemcisine iletildi ve ardından AP’ye iletildi.
İçinde OcakUber aynı şikayetlerle ilgili veri erişim hakları için 10 milyon avro para cezasına çarptırıldı. Ancak Pazartesi günü açıklanan yeni para cezası önceki cezayı gölgede bıraktı ve onu en büyük on GDPR para cezasıyla cezalandırılan teknoloji devleri listesinde orta sıranın hemen altına yerleştirdi.
AP’nin yazdığına göre cezanın büyüklüğü ihlalin ciddiyetini yansıtıyor. basın bülteni Uber’in AB dışına aktardığı verileri “uygun şekilde korumadığını” ve bunun “ciddi bir ihlal” olduğunu söyledi.
Veri koruma sorunu, NSA muhbiri Edward Snowden’ın 2013’teki ifşalarının ardından Avrupa’daki mahkemelerin AB halkının veri koruma ve gizlilik hakları için risk oluşturduğunu defalarca tespit ettiği ABD ulusal güvenlik istihbarat ajansı gözetim programlarıyla ilgilidir. Bu bir sorundur çünkü GDPR korumalarının Avrupalıların verileriyle birlikte seyahat etmesi gerekir.
AB-ABD veri akışlarının çoğunu yönlendiren ABD teknoloji devleri, yıllardır esasen bu çatışmanın ortasında kalmış durumda. Veri madenciliğine (ve dolayısıyla kişisel verilere açık erişime) dayanan iş modelleri de gizlilik yasal riskine özellikle maruz kalmaktadır.
“Avrupa’da, GDPR, işletmelerin ve hükümetlerin kişisel verileri gereken özenle ele almasını gerektirerek insanların temel haklarını korur. Ancak ne yazık ki, bu Avrupa dışında kendiliğinden açık değildir,” diye yazdı Hollandalı DPA başkanı Aleid Wolfsen bir bildiride. “Verileri büyük ölçekte kullanabilen hükümetleri düşünün. Bu nedenle, işletmeler genellikle Avrupalıların kişisel verilerini Avrupa Birliği dışında saklarlarsa ek önlemler almak zorunda kalırlar. Uber, ABD’ye yapılan transferlerle ilgili olarak verilerin korunmasını sağlamak için GDPR’nin gerekliliklerini karşılamadı. Bu çok ciddi bir durum.”
Uber’e yönelik şikayetler, AB ve ABD arasında yüksek düzeyde veri aktarım çerçevesi üzerinde mutabakata varılmamış bir dönemde yapıldı. Temmuz 2020’de bloğun en yüksek mahkemesi, şirketin ve binlerce diğerinin veri ihracatlarını yetkilendirmek için güvendiği Gizlilik Kalkanı olarak bilinen bir mekanizmayı iptal etti.
AB-ABD arasında yeni bir veri transfer anlaşması ancak Temmuz 2023’te kararlaştırılıp kabul edildi; bu da veri ihracatı konusunda yüksek hukuki belirsizliğin olduğu üç yıllık bir dönemin olduğu anlamına geliyor.
Dijital şirketler, işlerinin veri odaklı doğası göz önüne alındığında, bu dönemde özellikle savunmasız kaldılar. Ve Uber, sokulan tek teknoloji devi değil: Meta, Mayıs 2023’te aynı temel sorun nedeniyle rekor kıran 1,2 milyar avroluk bir GDPR cezasına çarptırıldı. Birkaç DPA da Google Analytics kullanımına karşı uyardı.
Uber’in durumunda Hollanda Veri Koruma Ajansı, topladığı ve dışarı aktardığı verilerin hesap bilgileri, taksi lisansları, konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri ve bazı durumlarda sürücülerin suç ve tıbbi verileri de dahil olmak üzere “hassas” sürücü bilgilerini içerdiğini söyledi.
“Uber, 2 yıldan uzun bir süre boyunca bu verileri ABD’deki Uber merkezine, hiçbir yasal işlem yapmadan aktardı. transfer araçlarıBu nedenle kişisel verilerin korunması yeterli olmamıştır” denildi.
Uber cezadan memnun değil. Herhangi bir uyumsuzluğu reddediyor ve mahkemede uygulamaya karşı itirazda bulunmaya yemin etti.
Uber sözcüsü Caspar Nixon, TechCrunch’a şirketin şu ifadeleri yazdığı bir bildiri gönderdi: “Bu hatalı karar ve olağanüstü para cezası tamamen haksızdır. Uber’in sınır ötesi veri aktarım süreci, AB ile ABD arasında 3 yıllık yoğun belirsizlik döneminde GDPR ile uyumluydu. Temyize gideceğiz ve sağduyunun galip geleceğinden emin olmaya devam edeceğiz.”
Şirket, AB-ABD arasında üst düzey bir veri transferi anlaşmasının olmadığı dönemde AP’den rehberlik istediğini iddia ediyor ancak düzenleyicinin kendilerine süreçlerinde sorunlar olduğuna dair herhangi bir açıklık sağlamadığını söylüyor.
AP, Uber’in geçen yılın sonundan beri Gizlilik Kalkanı’nın halefini kullanmaya başladığından beri uyumlu olduğunu öne sürüyor. Uber, bu yeni veri aktarım çerçevesi altında artık uyumlu kabul edilen süreçlerin daha önce kullandıklarıyla aynı olduğunu iddia ediyor. Yani, temelde, iddiası yasal hedef direklerinin hareket ettiği yönünde.
Ancak AB-ABD arasında üst düzey bir transfer anlaşmasının olmadığı dönemde, bloğun gizlilik düzenleyicileri, şirketleri herhangi bir veri ihracatının kurallara uygun olmasını sağlamaktan sorumlu oldukları konusunda uyardı.
Avrupa Veri Koruma Kurulu’nun bu döneme ilişkin kılavuzunda, veri denetleyicisinin şirketlerin veri akışlarının GDPR uyumlu olmasını sağlamak için veri ihracatlarında koruma düzeyini yükseltmek amacıyla uygulaması gerekebilecek ek önlemler hakkında bilgi sağlandı; örneğin veri yerelleştirmeye geçmek veya ihraç edilen verilere erişilemeyeceği anlamına gelen ‘sıfır erişim’ şifreleme biçimleri uygulamak gibi.
Uber’in sözcüsü, söz konusu dönemde şirketin herhangi bir ek önlem uygulayıp uygulamadığını henüz doğrulayamadı.