Hollanda Veri Koruma Kurumu (DPA), Avrupa taksi şoförlerine ait kişisel verilerin ABD’ye aktarılması konusunda yeterli güvenlik önlemlerinin bulunmadığının tespit edilmesinin ardından, yolculuk paylaşım devi Uber’e 290 milyon avroluk büyük bir para cezası verdi. Bu, Hollanda Veri Koruma Kurumu’nun Uber’e karşı üçüncü kez dava açması anlamına geliyor.
Şirkete daha önce 2023’te 10 milyon avro, 2018’de ise 600 bin avro para cezası verilmişti.
Uber’in GDPR İlkelerini İhlali
Hollanda Veri Koruma Ajansı’na göre Uber, Avrupa’daki sürücülerin hesap bilgileri, taksi lisansları, konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri ve bazı durumlarda suç ve tıbbi kayıtlar dahil olmak üzere hassas bilgilerini topladı ve sakladı. Uber daha sonra iki yıldan fazla bir süre boyunca bu verileri, AB’nin Genel Veri Koruma Yönetmeliği’nin (GDPR) gerektirdiği eşdeğer koruma seviyesini sağlamak için gerekli veri aktarım araçlarını kullanmadan ABD’deki genel merkezine aktardı.
Hollanda Veri Koruma Ajansı Başkanı Aleid Wolfsen, “Avrupa’da GDPR, işletmelerin ve hükümetlerin kişisel verileri gereken özenle ele almasını zorunlu kılarak insanların temel haklarını koruyor.” dedi ve ekledi:
“Ancak ne yazık ki bu Avrupa dışında kendiliğinden açık değil. Verileri büyük ölçekte kullanabilen hükümetleri düşünün. Bu nedenle işletmeler genellikle Avrupalıların kişisel verilerini Avrupa Birliği dışında saklıyorlarsa ek önlemler almak zorunda kalıyorlar. Uber, ABD’ye yapılan transferlerle ilgili olarak verilerin koruma düzeyini garantilemek için GDPR gerekliliklerini karşılamadı. Bu çok ciddi bir durum.”
Hollanda DPA’nın kararı, Avrupa’daki bir dizi yüksek profilli veri gizliliği kararının arka planında geliyor. 2020’de AB Adalet Divanı, daha önce AB ile ABD arasında kişisel verilerin aktarılmasına izin veren bir çerçeve olan AB-ABD Gizlilik Kalkanı’nı geçersiz kıldı
Mahkeme, Standart Sözleşme Maddelerinin bu tür veri aktarımları için geçerli bir temel oluşturabileceğini belirtirken, standartlarını karşılamak için uygulamada eşdeğer düzeyde bir korumanın garanti edilmesi gerektiğini şart koşmuştur.
Hollanda Veri Koruma Ajansı’na göre, Uber’in veri aktarım uygulamaları bu gerekliliğin gerisinde kaldı. Düzenleyici, Uber’in Standart Sözleşme Maddelerini artık kullanmadığı Ağustos 2021’den itibaren AB sürücülerinin verilerinin “yetersiz şekilde korunduğunu” tespit etti. Uber, geçersiz kılınan Gizlilik Kalkanı’nın halefini kullanmaya ancak geçen yılın sonunda başladı.
AB Soruşturması ve Uber’in Tepkisi
Hollanda DPA’nın Uber’in veri uygulamalarına ilişkin soruşturması, Fransız insan hakları çıkar grubu Ligue des droits de l’Homme’a (LDH) şikayette bulunan 170’ten fazla Fransız sürücünün şikayetleri üzerine başlatıldı. LDH daha sonra Fransız DPA’ya bir şikayette bulundu ve ardından kararın koordinasyonu için Hollandalı mevkidaşıyla yakın bir şekilde çalıştı.
Uber’e verilen ve şirketin 2023’teki dünya çapındaki yıllık cirosunun %4’üne denk gelen para cezası, Hollanda Veri Koruma Ajansı tarafından verilen üçüncü cezadır. Düzenleyici daha önce Uber’e 2018’de 600.000 avro ve 2023’te 10 milyon avro para cezası vermişti ve şirket her ikisine de itiraz etmişti.
Uber, davanın daha fazla ayrıntısını beklerken, son 290 milyon avroluk para cezasına itiraz edeceğini belirtti.