Hollanda Veri Koruma Otoritesi (DPA), hassas sürücü verilerini ABD’ye gönderirken Avrupa Birliği (AB) veri koruma standartlarına uymadığı iddiasıyla Uber’e rekor düzeyde 290 milyon avro (324 milyon dolar) para cezası verdi
Kurum, “Hollanda Veri Koruma Kurumu, Uber’in Avrupa’daki taksi şoförlerine ait kişisel verileri Amerika Birleşik Devletleri’ne (ABD) aktardığını ve bu aktarımlara ilişkin verileri uygun şekilde korumadığını tespit etti” dedi.
Veri koruma gözlemcisi, bu hareketin Genel Veri Koruma Yönetmeliği’nin (GDPR) “ciddi” bir ihlalini oluşturduğunu söyledi. Buna karşılık, yolculuk çağırma, kurye ve yemek teslimat hizmeti bu uygulamayı sonlandırdı.
Uber’in sürücülerin hassas bilgilerini topladığı ve bunları iki yıldan uzun bir süre boyunca ABD merkezli sunucularda sakladığı düşünülüyor. Buna hesap bilgileri ve taksi lisansları, konum verileri, fotoğraflar, ödeme bilgileri ve kimlik belgeleri dahildi. Bazı durumlarda sürücülerin suç ve tıbbi verileri de içeriyordu.
DPA, Uber’i, özellikle AB’nin 2020’de AB-ABD Gizlilik Kalkanı’nı geçersiz kıldığı düşünüldüğünde, uygun mekanizmaları kullanmadan veri transferleri gerçekleştirmekle suçladı. Temmuz 2023’te AB-ABD Veri Gizliliği Çerçevesi olarak bilinen bir yedek duyuruldu.
“Uber, Ağustos 2021’den itibaren Standart Sözleşme Maddelerini kullanmadığı için Hollanda Veri Koruma Ajansı’na göre AB’den sürücülerin verileri yeterince korunmuyordu,” dedi kurum. “Geçtiğimiz yılın sonundan bu yana Uber, Gizlilik Kalkanı’nın halefini kullanıyor.”
Bloomberg ile paylaşılan bir açıklamada Uber, cezanın “tamamen haksız” olduğunu ve karara itiraz etmeyi planladığını söyledi. Ayrıca, sınır ötesi veri aktarım sürecinin GDPR ile uyumlu olduğunu söyledi.
Veri Koruma Otoritesi (DPA), bu yılın başlarında Uber’e, Avrupa sürücülerine ilişkin veri saklama sürelerinin tüm ayrıntılarını ve verileri paylaştığı Avrupa dışı ülkeleri açıklamaması nedeniyle 10 milyon avro para cezası verdi.
DPA, Ocak 2024’te “Uber, sürücülerin kişisel verilerinin kopyalarını görüntüleme veya alma talebinde bulunmalarını gereksiz yere karmaşık hale getirdi” ifadesini kullandı.
“Ayrıca, Uber’in sürücülerinin kişisel verilerini ne kadar süreyle sakladığını veya bu bilgileri ülke dışındaki kuruluşlara gönderirken hangi özel güvenlik önlemlerini aldığını gizlilik hüküm ve koşullarında belirtmediler. [European Economic Area].”
ABD’li şirketlerin, AB veri transferleri konusunda ABD’de eşdeğer gizlilik korumalarının bulunmaması nedeniyle AB veri koruma otoritelerinin hedefi haline gelmesi ilk kez olmuyor ve bu durum, Avrupa kullanıcı verilerinin ABD gözetim programlarına tabi olabileceği endişesini doğuruyor.
2022 yılında Avusturyalı ve Fransız düzenleyiciler, Google Analytics verilerinin Atlantik ötesi hareketinin GDPR yasalarını ihlal ettiğine karar verdi.
“Verileri büyük ölçekte kullanabilen hükümetleri düşünün,” dedi DPA başkanı Aleid Wolfsen. “İşte bu yüzden işletmeler, Avrupalıların kişisel verilerini Avrupa Birliği dışında saklıyorlarsa genellikle ek önlemler almak zorunda kalıyorlar.”