Uber krijgt 290 miljoen euro boete voor ‘zeer ernstige’ AVG-schending

AP 22 juli 2024, IT 4611 (Autoriteit Persoonsgegevens tegen Uber). De Autoriteit Persoonsgegevens (hierna: AP) legt Uber een boete op van 290 miljoen euro. Het bedrijf heeft namelijk twee jaar lang persoonsgegevens van EU-taxichauffeurs doorgegeven aan de Verenigde Staten (hierna: VS) zonder daarbij aan de AVG te voldoen. Het gaat onder andere om locatiegegevens, foto’s, betaalgegevens, ID's en in sommige gevallen zelfs strafrechtelijke en medische gegevens. Aangezien de VS het door de AVG vereiste beveiligingsniveau voor persoonsgegevens niet waarborgen, is het aan Uber om passende maatregelen te treffen wanneer zij persoonsgegevens naar de VS verzendt. Deze maatregelen moeten ervoor zorgen dat het door de AVG gewaarborgde beveiligingsniveau alsnog wordt behaald. De AP constateert dat Uber tussen augustus 2021 en eind 2023 geen passende maatregelen heeft getroffen, ondanks het feit dat zij persoonsgegevens naar de VS heeft verzonden. Hiervoor krijgt Uber een boete opgelegd van iets minder dan één procent over haar jaaromzet (zo'n 34,5 miljard euro). Dit komt uit op de hoogste boete die de AP ooit heeft opgelegd. Uber laat in een persverklaring weten dat zij in beroep gaat tegen de boete, desnoods bij de rechter. Volgens haar bestond er in de genoemde periode onduidelijkheid over de privacyregels en heeft zij naar beste weten en kunnen gehandeld.

Er zijn twee manieren waarop bedrijven als Uber passende maatregelen kunnen treffen om aan de AVG te voldoen bij een situatie als de bovengenoemde: (i) doorgifte van gegevens op basis van een adequaatheidsbesluit en (ii) doorgifte op basis van een door de Europese Commissie goedgekeurd modelcontract. In 2020 heeft het Hof van Justitie het EU-VS Privacy Shield verdrag ongeldig verklaard, waardoor bedrijven enkele jaren alleen nog op modelcontracten waren aangewezen. Maar, in 2023 is er een nieuw adequaatheidsbesluit van kracht gegaan, beter bekend als het Data Privacy Framework. Hiervan maakt Uber vandaag de dag gebruik.

"In Europa beschermt de AVG de grondrechten van mensen, door te eisen dat bedrijven en overheden zorgvuldig met persoonsgegevens omgaan" zegt AP-voorzitter Aleid Wolfsen. "Maar buiten Europa is dat helaas niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen."

"Daarom zijn bedrijven meestal verplicht extra maatregelen te nemen als zij persoonsgegevens van Europeanen buiten de Europese Unie opslaan. Uber heeft het in de AVG vereiste niveau van bescherming voor chauffeurs niet gewaarborgd voor de doorgifte van gegevens naar de VS. Dat is zeer ernstig."