Hollanda Veri Koruma Otoritesi (DPA), hassas sürücü verilerini ABD’ye gönderirken Avrupa Birliği (AB) veri koruma standartlarına uymadığı iddiasıyla Uber’e rekor düzeyde 290 milyon avro (324 milyon dolar) para cezası verdi
“Hollanda Veri Koruma Ajansı, Uber’in Avrupa taksi şoförlerinin kişisel verilerini Amerika Birleşik Devletleri’ne (ABD) aktardığını ve bu aktarımlarla ilgili olarak verileri uygun şekilde korumadığını tespit etti” dedi kurum. söz konusu.
Veri koruma gözlemcisi, bu hareketin Genel Veri Koruma Yönetmeliği’nin (GDPR) “ciddi” bir ihlalini oluşturduğunu söyledi. Buna karşılık, yolculuk çağırma, kurye ve yemek teslimat hizmeti bu uygulamayı sonlandırdı.
Uber’in sürücülerin hassas bilgilerini topladığı ve bunları iki yıldan uzun bir süre boyunca ABD merkezli sunucularda sakladığı düşünülüyor. Buna hesap bilgileri ve taksi lisansları, konum verileri, fotoğraflar, ödeme bilgileri ve kimlik belgeleri dahildi. Bazı durumlarda sürücülerin suç ve tıbbi verileri de içeriyordu.
DPA, Uber’i veri transferlerini herhangi bir güvenlik önlemi almadan gerçekleştirmekle suçladı uygun mekanizmalarÖzellikle AB’nin 2020 yılında AB-ABD Gizlilik Kalkanı’nı geçersiz kıldığı düşünüldüğünde, Temmuz 2023’te AB-ABD Veri Gizliliği Çerçevesi olarak bilinen bir yedek duyuruldu.
“Uber, Ağustos 2021’den itibaren Standart Sözleşme Maddelerini kullanmadığı için Hollanda Veri Koruma Ajansı’na göre AB’den sürücülerin verileri yeterince korunmuyordu,” dedi kurum. “Geçtiğimiz yılın sonundan bu yana Uber, Gizlilik Kalkanı’nın halefini kullanıyor.”
Bloomberg ile paylaşılan bir bildiride Uber, söz konusu para cezasının “tamamen haksız” olduğunu ve karara itiraz etmeyi planladığını belirtti. Ayrıca, sınır ötesi veri aktarım sürecinin GDPR ile uyumlu olduğunu söyledi.
Bu yılın başlarında DPA para cezasına çarptırılmış Uber, Avrupa’daki sürücülere ve verileri paylaştığı Avrupa dışındaki ülkelere ilişkin veri saklama sürelerinin tüm ayrıntılarını açıklamadığı için 10 milyon avro para cezasına çarptırıldı.
DPA, Ocak 2024’te “Uber, sürücülerin kişisel verilerinin kopyalarını görüntüleme veya alma talebinde bulunmalarını gereksiz yere karmaşık hale getirdi” ifadesini kullandı.
“Ayrıca, Uber’in sürücülerinin kişisel verilerini ne kadar süreyle sakladığını veya bu bilgileri ülke dışındaki kuruluşlara gönderirken hangi özel güvenlik önlemlerini aldığını gizlilik hüküm ve koşullarında belirtmediler. [European Economic Area].”
ABD’li şirketlerin, AB veri transferleri konusunda ABD’de eşdeğer gizlilik korumalarının bulunmaması nedeniyle AB veri koruma otoritelerinin hedefi haline gelmesi ilk kez olmuyor ve bu durum, Avrupa kullanıcı verilerinin ABD gözetim programlarına tabi olabileceği endişesini doğuruyor.
2022 yılında Avusturyalı ve Fransız düzenleyiciler, Google Analytics verilerinin Atlantik ötesi hareketinin GDPR yasalarını ihlal ettiğine karar verdi.
“Verileri büyük ölçekte kullanabilen hükümetleri düşünün,” dedi DPA başkanı Aleid Wolfsen. “İşte bu yüzden işletmeler, Avrupalıların kişisel verilerini Avrupa Birliği dışında saklıyorlarsa genellikle ek önlemler almak zorunda kalıyorlar.”