Uber 因將駕駛個人資料傳輸到美國而在荷蘭被罰款 2.9 億歐元。
荷蘭資料保護局 (DPA) 發現 Uber 收集了有關其歐洲司機的“敏感資訊”,例如計程車執照、位置數據,甚至醫療數據,並將其保留在美國伺服器上。
DPA 補充說,Uber 向其美國資料庫進行了傳輸,但沒有「適當保護與這些傳輸相關的資料」。
DPA 認為此次傳輸「嚴重違反」歐洲通用資料保護規範 (GDPR)。
DPA 主席阿萊德·沃爾森 (Aleid Wolsen) 在其網站上的聲明中表示,這些數據法要求「企業和政府謹慎處理個人資料」。
「但遺憾的是,這在歐洲之外並不是不言而喻的。想想可以大規模利用數據的政府」。
罰款“完全不合理”
Uber 發言人在一封電子郵件中告訴《歐洲新聞台》:“這一有缺陷的決定和巨額罰款是完全不合理的。”
優步三年來,美國和歐盟之間關於如何應用規則的“巨大不確定性”,他們堅稱自己遵守了 GDPR。
據 Uber 稱,這一問題可以追溯到 2020 年,當時歐盟法院裁定當前的歐盟-美國資料傳輸框架不再符合 GDPR。
根據電腦與通訊產業協會(CCIA Europe)支持 Uber 的聲明,近三年來,歐洲和美國公司「沒有任何明確的跨大西洋資料流指南」。
歐盟委員會於 2023 年 7 月解決了這一問題,並發表聲明稱美國為歐洲數據提供了足夠的保護。
Uber 表示,在做出這項判決時,它不必對在美國儲存資訊的方式做出任何改變。
CCIA 歐洲政策主管Alexandre Roure 表示:「資料保護機構的任何追溯性罰款都特別令人擔憂,因為在法律存在重大不確定性的時期,在缺乏任何明確的法律框架的情況下,這些隱私監管機構未能提供有用的指導。
對 CCIA 來說,追溯性罰款意味著 2020 年至 2023 年期間在線上發生的任何事情(從視訊會議到線上支付處理)都將存在法律不確定性。
Uber 表示,他們將對罰款提出上訴,並「堅信常識將會佔上風」。他們的上訴意味著罰款將暫停,直到做出最終決定。
2021 年,170 名法國司機向法國非政府組織 Ligue des droits de l'Homme(人權聯盟)投訴後,DPA 在今年稍早啟動了調查。
Uber 歐洲、中東和非洲總部位於阿姆斯特丹,因此 DPA 接手了此案。去年 12 月,荷蘭當局也對 Uber 處以 1,000 萬歐元罰款,並於 2018 年處以 60 萬歐元罰款。
DPA 在 2023 年 12 月的調查中發現,Uber 沒有足夠快地回應司機的資料請求。
據與荷蘭合作處理此案的法國數據機構稱,Uber 在其隱私聲明中還提供了有關該公司如何將數據傳輸到美國的「不完整」資訊。
法國數據管理局當時在一份聲明中表示:“這一決定重申了要求資訊透明的重要性以及確保尊重數據主體權利的必要性。”
法國人權聯盟律師 Jerome Giusti 在 2 月的聲明中表示,他認為 12 月的投訴是「法國人權聯盟首次採取大規模行動」。歐洲工人基於 GDPR」。
「在法國法院做出第一個判決之後,我所代表的司機正在考慮發起集體訴訟以獲得賠償」。
《歐洲新聞台》跟進了這家法國非政府組織,以了解可能提起訴訟的最新情況,但沒有立即得到回應。
在此案中,Uber 堅稱 DPA 表示,該乘車共享平台履行了及時向司機提供數據的義務。
該公司表示,他們對 2023 年 12 月案件的上訴仍在進行中。
