.webp "Hollanda Otoritesi Uber'e 290 Milyon Avro Para Cezası Kesti")
Hollanda Veri Koruma Otoritesi (DPA), Uber’e 290 milyon avro para cezası verdi. Ceza, DPA’nın Uber’in yeterli güvenlik önlemleri olmadan Avrupa taksi şoförlerinin kişisel verilerini Amerika Birleşik Devletleri’ne aktardığını tespit etmesinin ardından geldi; bu, Genel Veri Koruma Yönetmeliği’nin (GDPR) ciddi bir ihlalidir.
Bu, Hollanda Veri Koruma Ajansı’nın Uber’e uyguladığı üçüncü ceza oldu ve şirketin veri koruma uygulamalarıyla ilgili devam eden endişeleri gözler önüne serdi.
Hassas Veriler Yanlış Yönetildi
Hollanda Veri Koruma Ajansı’nın (DPA) soruşturması, Uber’in Avrupa’daki sürücülerden hassas bilgileri toplayıp ABD’deki merkezine aktardığını ortaya koydu.
Bu veriler arasında hesap bilgileri, taksi ruhsatları, konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri ve bazı durumlarda suç ve tıbbi kayıtlar yer alıyordu.
Bu tür hassas verilerin uygun güvenlik önlemleri alınmadan aktarılması, özellikle Avrupa Birliği dışına veri aktarımı sırasında işletmelerin yüksek veri koruması sağlamasını gerektiren GDPR standartlarının açık bir ihlalidir.
Soruşturma, Uber’in bu verileri iki yıldan uzun bir süredir herhangi bir aktarım aracı kullanmadan aktardığını ortaya çıkardı. Bu koruma eksikliği, AB Adalet Divanı’nın 2020’de AB-ABD Gizlilik Kalkanı’nı geçersiz kılmasının ardından daha da belirginleşti.
Standart Sözleşme Maddeleri veri transferleri için hala kullanılabilir olsa da, Uber’in sağlamayı başaramadığı eşdeğer bir koruma gerektiriyor.
Şirket, Ağustos 2021’de bu maddeleri kullanmayı bıraktı ve bu da AB sürücülerinin veri korumasını daha da tehlikeye attı. Ancak Uber, o zamandan beri Gizlilik Kalkanı’nın halefini benimseyerek ihlali sonlandırdı.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Sürücülerden Gelen Şikayetler Soruşturmayı Teşvik Ediyor
Hollanda DPA, 170’ten fazla Fransız sürücünün şikayetleri üzerine soruşturmayı başlattı. Bu sürücüler endişelerini Fransız insan hakları çıkar grubu olan Ligue des droits de l’Homme’a (LDH) ilettiler ve daha sonra Fransız DPA’ya şikayette bulundular.
GDPR kapsamında, birden fazla AB Üye Devletinde faaliyet gösteren şirketler, ana kuruluşlarının bulunduğu ülkedeki Veri Koruma Yetkilisinin yetkisine tabidir.
Uber’in Avrupa merkezi Hollanda’da olduğundan, soruşturmaya Hollanda Veri Koruma Ajansı öncülük etti, Fransız Veri Koruma Ajansı ile yakın bir şekilde çalıştı ve diğer Avrupa Veri Koruma Ajansı ile koordinasyon sağladı.
Avrupa Veri Koruma Otoriteleri arasındaki iş birliği, GDPR’nin uygulanmasında ve AB genelinde bireylerin haklarının korunmasında sınır ötesi iş birliğinin önemini vurgulamaktadır.
Uber’in Tepkisi ve Gelecekteki Etkileri
Uber, 290 milyon avroluk para cezasına itiraz etme niyetini dile getirdi. Şirketin, daha önce 2018’de 600.000 avroluk ve 2023’te 10 milyon avroluk para cezalarına itiraz etmiş olması nedeniyle Hollanda Veri Koruma Ajansı tarafından verilen cezalara itiraz etme geçmişi bulunmaktadır.
Mevcut para cezası, Uber’in 2023 yılındaki dünya çapındaki yıllık cirosunun yaklaşık %4’ü olan 34,5 milyar avroya kadar hesaplanan önemli bir mali cezayı temsil ediyor.
Dava, Avrupa’da faaliyet gösteren işletmelere GDPR’nin katı gerekliliklerini ve uyumsuzluğun potansiyel mali sonuçlarını sert bir şekilde hatırlatıyor.
Hollanda Veri Koruma Ajansı Başkanı Aleid Wolfsen’in vurguladığı gibi, GDPR, kişisel verilerin özenle işlenmesini sağlayarak bireylerin temel haklarını korumak için tasarlanmıştır.
Şirketler, verileri AB dışında saklarken yetkisiz erişimi ve kötüye kullanımı önlemek için ek önlemler almalıdır.
Uber’e kesilen son ceza, şirketin uluslararası veri koruma yasalarını aşmada yaşadığı zorlukları ve sorumlulukları gözler önüne seriyor.
Ayrıca, Avrupa yetkililerinin bireylerin haklarını koruma ve işletmelerin en yüksek veri koruma standartlarına uymasını sağlama konusundaki kararlılığını da güçlendiriyor.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial