Uber sai Hollandi järelevalveasutuselt 290 miljoni euro suuruse trahvi isikuandmete edastamise eest Ameerikasse. Uberil puudusid vajalikud kaitsemeetmed. Rikkumine leidis aset perioodil 6. august 2021 kuni 27. november 2023.
Hollandi järelevalveasutus leidis, et Uber rikkus isikuandmete kaitse üldmääruse (IKÜM) artiklit 44, mis nõuab, et vastutaval töötlejal on õiguslik alus isikuandmete edastamiseks kolmandasse riiki. Praegu on puudujääk kõrvaldatud ja Uber saab USA-sse edastada isikuandmeid läbi andmekaitseraamistiku (Data Privacy Framework). See on loodud hõlbustamaks Atlandi-ülest kaubandust, pakkudes usaldusväärseid mehhanisme isikuandmete edastamiseks Euroopa Majanduspiirkonnast Ameerika Ühendriikidesse.
Rikkumise ajal ei olnud USA ettevõtetel võimalik tugineda ka kaitse piisavuse otsusele (IKÜM art 45), sest Euroopa Liidu ja USA vaheline adekvaatsusotsus (Privacy Shield) tühistati 2020. aastal Euroopa Kohtu otsusega (C-311/18 avaneb uues vahekaardis).
Uberi andmesubjektide, kelleks oli selles juhtumis enamasti taksojuhid, isikuandmetega tutvumise taotluste käsitlemiseks pidi Uber BV ehk Uberi tütarettevõte Hollandis saatma Euroopast USA serveritesse isikuandmeid. Hollandi järelevalveasutus leidis, et Uber kogus muu hulgas Euroopast pärit juhtide eriliigilisi isikuandmeid ja säilitas neid USA serverites.
Uber töötles kontoandmeid, taksolubasid, asukohaandmeid, fotosid, makseandmeid, isikut tõendavaid dokumente ning mõnel juhul isegi juhtide kriminaal- ja terviseandmeid. Uberil ei olnud tollel ajal ei kontsernisiseseid eeskirju ega sertifitseerimismehhanisme.
Holland leidis, et Uber käitus hooletult, sest ta ei saanud olla mitteteadlik isikuandmete kaitse üldmääruse (IKÜM) nõuetest, mis käsitlevad isikuandmete edastamist kolmandatesse riikidesse. Hollandi järelevalveasutus leidis, et rikkumine oli tõsine, võttes arvesse andmete laadi ning rikkumise kestvust - 2 aastat ja 3 kuud.
Rikkumise eest saab vastavalt IKÜM artiklile 83 lõige 5 punkt c trahvida kuni 4% vastutava töötleja ülemaailmsest aastaset kogukäibest. Trahvi arvutades võttis Hollandi järelevalveasutus arvesse Uberi ülemaailmset aastast kogukäivet – mis on 34 miljardit eurot, millest kujunes ka trahviks määratud summa.
See on kolmas trahviotsus Hollandi järelevalveasutuselt Uberile. Viimane trahviotsus tehti 2023. aasta detsembris ja see oli summmas 10 miljonit eurot puuduste eest privaatsuspoliitikas ja juurdepääsutaotluse protsessis.
Allikas. Andmekaitse Inspektsioon