Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens, AP), GDPR ihlalleri nedeniyle Uber Technologies Inc. ve Uber BV’ye 290.000.000 Avro (325 milyon $) para cezası verdi.
Yetkililer, Uber’i, Genel Veri Koruma Yönetmeliği’nin V. Bölümünde tanımlandığı gibi yeterli güvenlik önlemleri olmaksızın kişisel verileri Avrupa Ekonomik Alanı’ndan (AEA) ABD’deki sunuculara aktarmakla suçluyor.
Hollanda Veri Koruma Kurumu’nun Uber’e uyguladığı idari para cezası üçüncü kez gerçekleşti.
Birincisi, Kasım 2018’de zayıf veri erişim kontrolleri nedeniyle verilen 600.000 avroluk para cezasıydı. İkincisi, Uber’in AB vatandaşlarına ait verilerin işlenmesine ilişkin belirsiz veri yönetim uygulamaları nedeniyle Ocak 2024’te verilen 10.000.000 avroluk para cezasıydı.
AP’nin Uber’in veri uygulamalarına yönelik soruşturması, Fransız sürücülerden gelen şikayetler üzerine başlatıldı ve Fransız veri koruma otoritesi (CNIL) tarafından AP’ye iletildi.
Sorun, Avrupa Birliği Adalet Divanı’nın Schrems II kararıyla, ABD’deki yetersiz veri koruma standartları nedeniyle AB-ABD Gizlilik Kalkanı’nın geçersiz kılınmasının ardından ortaya çıktı.
Karara rağmen Uber’in, Standart Sözleşme Maddeleri (SCC) veya diğer güvenlik önlemlerini uygulamadan kişisel verileri ABD’ye aktarmaya devam ettiği ve böylece üçüncü ülkelere yapılan veri transferlerinin AB içindekiyle eşdeğer düzeyde koruma sağlamasını zorunlu kılan GDPR Madde 44’ü ihlal ettiği iddia ediliyor.
Bu, İrlanda Veri Koruma Komisyonu’nun (DPC) Meta’ya (Facebook) 1,3 milyar dolarlık büyük bir para cezası vermesinin nedeni olan ihlalle aynıdır. Daha yakın zamanda, İsveç Gizlilik Koruma Kurumu (IMY) tarafından dört firmaya Google Analytics kullanımından kaynaklanan benzer ihlaller nedeniyle 1,1 milyon dolar para cezası verildi.
Uber’in yanıtı
Uber, GDPR’nin V. Bölümünün geçerli olmadığını, çünkü GDPR’nin 3. maddesinin düzenlemenin korumasını ABD’deki işlem faaliyetlerine zaten genişlettiğini savundu.
Teknoloji firması ayrıca, sürücülerin verilerini uygulama aracılığıyla doğrudan Uber’in ABD merkezli sunucularına sağladığı için GDPR kapsamında tanımlandığı şekilde hiçbir veri transferinin gerçekleşmediğini iddia ediyor.
AP bu argümanları reddetti ve büyük bir dayatmada bulundu. AP’nin soruşturması ve nihai kararı hakkında daha fazla ayrıntı destekleyici belgede bulunabilir.
Yorum talebimize yanıt veren bir Uber sözcüsü BleepingComputer’a, kararı haksız bulduklarını ve karara itiraz edeceklerini söyledi.
“Bu hatalı karar ve olağanüstü para cezası tamamen haksızdır. Uber’in sınır ötesi veri aktarım süreci, AB ile ABD arasındaki 3 yıllık yoğun belirsizlik döneminde GDPR ile uyumluydu. Temyiz edeceğiz ve sağduyunun galip geleceğinden emin olmaya devam edeceğiz.” – Uber sözcüsü
Uber, gizlilik bildiriminde belirtildiği gibi veri işleme uygulamalarının GDPR’ye uyduğunu savunmaktadır. Ayrıca, kullanıcılar ve kullanıcılar ile Uber arasındaki veri akışlarını hizmetlerinin temel ve doğal bir bileşeni olarak görmektedir.
İtiraz süreci 4 yıla kadar sürebilir ve bu süre içerisinde para cezası askıya alınır.