Nīderlandes Datu aizsardzības aģentūra (DAA) pirmdien piespriedusi uzņēmumam Uber 290 miljonu eiro naudas sodu par ES Vispārīgās datu aizsardzības regulas (GDPR/VDAR) pārkāpumu, glabājot Eiropas taksometru vadītāju personas datus ASV serveros.
DAA konstatēja, ka Uber nav pietiekami aizsargājis personas datus, ko tas pārsūtīja uz ASV. Uber divus gadus nosūtot personas datus no ES uz savu galveno mītni ASV, neizmantoja pārsūtīšanas rīkus datu aizsardzībai. Pārsūtīšanas rīki ietver šifrēšanu un pseidonimizāciju, kas būtu jāizmanto, nosūtot personas datus ārpus ES, norāda DAA.
Uzņēmumiem Eiropā ir atļauts pārsūtīt datus ārpus ES, izmantojot datu apstrādes līguma standartklauzulu, kas ir Eiropas Komisijas apstiprināts līguma paraugs. Tomēr uzņēmumiem, kas glabā personas datus ārpus ES, parasti ir jāizmanto papildu pasākumi, piemēram, pārsūtīšanas rīki, lai nodrošinātu ES datu aizsardzības standartu ievērošanu.
Datu pārsūtīšanai uz ASV piemēro īpašus noteikumus. Saskaņā ar Eiropas Komisijas lēmumu par datu aizsardzības līmeņa pietiekamību no 2023. gada Amerikas uzņēmumiem, kas piedalās datu privātuma sistēmā, tiek piemērots tāds datu aizsardzības līmenis, kas ir līdzvērtīgs ES līmenim. ES pilsoņi var iesniegt sūdzību par to, kā tiek apstrādāti viņu personas dati, pat ja uzņēmums ir Datu privātuma sistēmas dalībnieks.
Datu pārsūtīšanai uz ASV piemēro īpašus noteikumus. Saskaņā ar Eiropas Komisijas lēmumu par datu aizsardzības līmeņa pietiekamību no 2023. gada Amerikas uzņēmumiem, kas piedalās datu privātuma sistēmā, tiek piemērots tāds datu aizsardzības līmenis, kas ir līdzvērtīgs ES līmenim. ES pilsoņi var iesniegt sūdzību par to, kā tiek apstrādāti viņu personas dati, pat ja uzņēmums ir Datu privātuma sistēmas dalībnieks.
Nīderlandes iestādes izmeklēšanu uzsāka pēc sūdzības, ko iesniedza 170 taksometru vadītāji Francijā. Tā kā Uber Eiropas galvenā mītne atrodas Nīderlandē, par izmeklēšanu bija atbildīga Nīderlandes DAA.
Pārsūtītie dati ietvēra “atrašanās vietas datus, fotoattēlus, maksājumu informāciju, personu apliecinošus dokumentus un dažos gadījumos pat autovadītāju kriminālos un medicīniskos datus”. GDPR nosaka, ka personas datu aizsardzība ir viena no ES pamattiesībām.
Saskaņā ar DAA sniegto informāciju Uber ir paziņojis par savu nodomu pārsūdzēt naudas sodu.
