Genel Veri Koruma Yönetmeliği (GDPR), Standartlar, Düzenlemeler ve Uyumluluk
Araç Çağırma Şirketi, GDPR Kapsamında Yetersiz Veri Şeffaflığı Uygulamaları Nedeniyle Cezaya çarptırıldı
Akşaya Asokan (asokan_akshaya) •
1 Şubat 2024
Uber, araç çağırma uygulaması üreticisinin sürücü verilerini ne kadar süre sakladığı ve Avrupa dışındaki hangi çalışanların verilere erişebileceği konusunda şeffaf olmadığını tespit etmesi üzerine Hollanda veri koruma kurumuna 10 milyon euro para cezası ödemek zorunda kalacak.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Hollandalı veri koruma yetkilisi Autoriteit Persoonsgegevens Çarşamba günü, Uber’e yetersiz veri erişimi ve saklama uygulamaları nedeniyle para cezası verdi; düzenleyici, bunun Avrupa Genel Veri Koruma Yönetmeliği kapsamındaki veri işleme ve şeffaflık gerekliliklerini ihlal ettiğini söyledi.
Ceza, 172 Fransız Uber sürücüsü ve Paris merkezli sivil toplum kuruluşu Ligue des Droits de l’Homme et du Citoyen veya LDH tarafından yapılan şikayetlerin sonucudur.
İlk şikayet Fransız veri düzenleyicisine iletildi, ancak şirketin Avrupa merkezi Amsterdam’da olduğundan Hollandalı düzenleyici yargı yetkisini üstlendi.
Dutch AP Başkanı Aleid Wolfsen, “Uber kullanıcılarının Uber’in verilerini nasıl kullandığını bilme hakkı var. Ancak Uber bunu yeterince açık bir şekilde açıklamadı” dedi. “Bu, Uber’in kullanıcıların gizlilik haklarını kullanmalarını engelleyen her türlü engeli koyduğunu ve bunun yasak olduğunu gösteriyor.”
Gizlilik düzenleyicisinin önüne getirilen sorunlar arasında, GDPR tarafından garanti altına alınan “verilere erişim hakkı”nın uygulanmasındaki zorluk da vardı.
Düzenleyici tarafından yapılan bir analiz, Uber’in kullanıcılardan kişisel verilerine erişim talebinde bulunmadan önce altı adımdan geçmelerini istediğini ortaya çıkardı.
Ajans ayrıca Uber’in sağladığı bilgilerin “çok genel” olduğunu ve şirketin Uber’in müşteri verilerini “çeşitli amaçlar için gerekli olduğu sürece” tutacağını ileri sürdüğünü söyledi. Uber’in veri süresini yedi yıl olarak değiştirmesine rağmen Hollandalı veri düzenleyici, şirketin bunu “yeterli somut terimlerle” formüle etmediğini söyledi.
Düzenleyici tarafından yapılan analiz ayrıca şirketin gizlilik politikasının, hangi kullanıcı verilerinin hangi ülkede işlendiğine ilişkin ayrıntıları sağlamada başarısız olduğunu da ortaya çıkardı.
Şüpheli uygulamalar, şirketin revize edilmiş uygulamaları benimsediği 2018’den Şubat 2022’ye kadar uzanıyor.
Daha önce Uber, 2016’da 57 milyon yolcuyu etkileyen bir veri ihlaline yol açan bir saldırının açığa çıkardığı zayıf güvenlik uygulamaları nedeniyle İngiliz ve Hollandalı veri düzenleyiciler tarafından 1,2 milyon dolar para cezasına çarptırılmıştı. Şirket ayrıca 2016’daki ihlalden kaynaklanan davaları çözmek için 2018’de ABD genelinde 148 milyon dolar ödedi.