Uber platformu, AB Genel Veri Koruma Yönetmeliğini (GDPR) ihlal ettiği için 290.000.000 € (mevcut döviz kurlarıyla yaklaşık 324 milyon $) para cezasına çarptırıldı. Ceza, sürücülerin kişisel verilerinin Avrupa Birliği’nden Uber’in ana iş merkezinin bulunduğu ABD’ye aktarılmasıyla ilgili.
GDPR, uyumsuzluk nedeniyle küresel yıllık cironun %4’üne kadar para cezasına izin veriyor. Uber’in 2023 yılı yıllık geliri yaklaşık 34,5 milyar Euro idi, dolayısıyla yaptırımların düzeyi bu maksimumun oldukça altındadır.
Ceza, 2021 yılında Fransa’da 170’den fazla Uber sürücüsü tarafından yapılan bir dizi şikayetin ardından geldi. Hollandalı düzenleyici, Hollanda Veri Koruma Otoritesi (AP), şirketin ülkede ana AB varlığına sahip olması nedeniyle Uber’in GDPR gözetimine liderlik ediyor. Şirketin sürücülerin kişisel verilerini nasıl işlediğine ilişkin şikayetleri araştırıyordu.
Ocak ayında Uber, aynı şikayetlerle ilgili veri hakları nedeniyle 10 milyon Euro para cezasına çarptırıldı. Ancak yeni ceza önceki cezayı gölgede bırakıyor ve onu GDPR’de ilk on ceza alan teknoloji devleri listesinde ortanın hemen altına yerleştiriyor. Bir basın açıklamasında Uber’in “AB’den aktardığı verileri yeterince korumadığını” yazan AP’ye göre, cezanın büyüklüğü ihlalin ciddiyetini yansıtıyor.
Veri koruma sorunu, ABD Ulusal Güvenlik İstihbarat Teşkilatı’nın gözetim programlarından kaynaklanıyor; 2013 yılında ANB’yi ihbar eden Edward Snowden’in ifşa edilmesinin ardından, Avrupa’daki mahkemeler AB vatandaşlarının veri koruma ve gizlilik haklarına yönelik bir risk oluşturduğunu defalarca tespit etti.
AB ile ABD arasındaki veri akışının büyük bir kısmından sorumlu olan Amerikan teknoloji devleri, aslında yıllardır bu çatışmanın merkezinde yer alıyor. Veri madenciliğine (ve dolayısıyla kişisel verilere açıkça erişime) dayanan iş modelleri de özellikle yasal gizlilik risklerine açıktır.
“Avrupa’da GDPR, işletmelerin ve hükümetlerin kişisel verileri gereken özenle kullanmasını zorunlu kılarak insanların temel haklarını koruyor. Ancak ne yazık ki bu Avrupa dışında apaçık ortada değil” diye yazdı Hollandalı DPA başkanı Aleid Wolfsen bir açıklamada.
Uber’e yönelik şikayetler, AB ile ABD arasında üzerinde anlaşmaya varılan üst düzey bir veri aktarım çerçevesinin olmadığı bir dönemde yapıldı. Temmuz 2020’de bloğun en yüksek mahkemesi, şirketin ve diğer binlerce kişinin verilerinin dışa aktarımına izin vermek için güvendiği Gizlilik Kalkanı mekanizmasını iptal etti.
AB ile ABD arasında yeni bir veri aktarımı anlaşması Temmuz 2023’e kadar kabul edilmedi ve bu da üç yıldır veri ihracatına ilişkin yüksek yasal belirsizliğin olduğu anlamına geliyor.
Dijital şirketler, işlerinin veri merkezli doğası göz önüne alındığında bu dönemde özellikle savunmasız kaldı. Uber bundan etkilenen tek teknoloji devi değil: Meta*, Mayıs 2023’te 1,2 milyar Euro tutarında rekor bir GDPR cezası aldı.
Uber davasında Hollanda Veri Koruma Kurumu, toplanan ve dışa aktarılan verilerin fatura ayrıntıları, taksi lisansları, konum verileri, fotoğraflar, ödeme ayrıntıları, kimlik belgeleri ve bazı durumlarda sürücü bilgileri dahil olmak üzere “hassas” sürücü bilgilerini içerdiğini söyledi. sürücülerin sabıka kayıtları ve sağlık durumları.
“Uber, 2 yıldan fazla bir süre boyunca bu verileri aktarım araçlarını kullanmadan ABD’deki Uber genel merkezine aktardı. Bu nedenle kişisel verilerin korunması yetersiz kaldı” denildi basın açıklamasında.
Uber cezayı kabul etmiyor. Şirket herhangi bir uyumsuzluğu reddediyor ve icraya mahkemede itiraz etme sözü verdi. Uber sözcüsü Caspar Nixon şöyle yazıyor: “Bu hatalı karar ve olağanüstü para cezası tamamen yersiz. Uber’in veri aktarım süreci, AB ile ABD arasındaki 3 yıllık büyük belirsizlik döneminde GDPR ile uyumluydu. İtiraz edeceğiz ve sağduyunun galip geleceğinden eminiz.”
Şirket, AB ile ABD arasında veri aktarımı konusunda üst düzey bir anlaşmanın olmadığı bir dönemde AP’den rehberlik istediğini iddia ediyor ancak düzenleyici, süreçlerinde sorun olup olmadığı konusunda netlik sağlamadı.
AP, Uber’in Gizlilik Kalkanı’nın halefini kullanmaya başladığı geçen yılın sonlarından bu yana uyumlu olduğunu öne sürüyor. Uber, artık bu yeni veri aktarım yapısı kapsamında uyumlu olduğunu düşündüğü süreçlerin daha önce kullandıklarıyla aynı olduğunu söylüyor.
Avrupa Veri Koruma Kurulu’nun bu döneme ilişkin tavsiyeleri, veri gözlemcisinin şirketlerin, veri akışlarının GDPR gerekliliklerine uygun olmasını sağlamak amacıyla veri dışa aktarımlarının koruma düzeyini iyileştirmek için, veri yerelleştirmesine geçmek veya veri yerelleştirmesine geçmek gibi uygulama gerekebileceğini söylediği ek önlemleri özetlemektedir. “sıfır erişim” şifreleme biçimleri; bu, dışa aktarılan verilere erişilemeyeceği anlamına gelir.
Uber, AP’den süreçlerinin GDPR uyumlu olmadığına dair herhangi bir belirti almadığını söyledi. Ancak AP, şirketin verileri korumak için ek önlemlerin gerekli olduğunu bilmesi gerektiğini savunuyor.
“Şirketin verileri korumak için ek önlemlere ihtiyaç olduğunun farkında olması gerekirdi. Bir şirkete nasıl ilerlemesi gerektiğini gösteren bir harita sağlayamayız. AP sözcüsü, verileri korumak için hangi önlemlerin gerekli olduğunu belirlemek şirketin sorumluluğundadır” dedi.
AP’nin kararı AB ve ABD’de faaliyet gösteren diğer şirketler için ciddi sonuçlar doğurabilir. Süreçlerinin GDPR uyumlu olmasını sağlayamayan şirketler önemli para cezaları ve diğer cezalarla karşı karşıya kalabilir.
