Nederlandse Autoriteit Persoonsgegevens legt Uber boete van 290 miljoen euro op vanwege doorgifte chauffeursgegevens aan VS

De Autoriteit Persoonsgegevens (AP) legt Uber een boete op van 290 miljoen euro. De AP heeft vastgesteld dat Uber persoonsgegevens van Europese taxichauffeurs naar de Verenigde Staten (VS) heeft doorgegeven en de gegevens met betrekking tot deze doorgiften niet op passende wijze heeft beveiligd. Volgens de AP is dit een ernstige schending van de Algemene Verordening Gegevensbescherming (AVG). Uber heeft de schending inmiddels beëindigd.

“In Europa beschermt de AVG de fundamentele rechten van mensen, door bedrijven en overheden te verplichten om zorgvuldig om te gaan met persoonsgegevens”, zegt Aleid Wolfsen, voorzitter van de Nederlandse Autoriteit Persoonsgegevens. “Maar helaas is dat buiten Europa niet vanzelfsprekend. Denk aan overheden die op grote schaal data kunnen aftappen. Daarom zijn bedrijven doorgaans verplicht om aanvullende maatregelen te nemen als ze persoonsgegevens van Europeanen buiten de Europese Unie opslaan. Uber voldeed niet aan de eisen van de AVG om het beschermingsniveau van de gegevens te waarborgen met betrekking tot overdrachten naar de VS. Dat is heel ernstig.”

Gevoelige gegevens

De Nederlandse Autoriteit Persoonsgegevens heeft vastgesteld dat Uber onder andere gevoelige informatie van chauffeurs uit Europa heeft verzameld en op servers in de VS heeft bewaard. Het gaat om accountgegevens en taxivergunningen, maar ook om locatiegegevens, foto’s, betalingsgegevens, identiteitsbewijzen en in sommige gevallen zelfs strafrechtelijke en medische gegevens van chauffeurs.Gedurende een periode van meer dan 2 jaar heeft Uber die gegevens overgedragen aan het hoofdkantoor van Uber in de VS, zonder gebruik te maken van overdrachtstools . Hierdoor was de bescherming van persoonsgegevens niet voldoende. Het Hof van Justitie van de EU heeft in 2020 het EU-VS Privacy Shield ongeldig verklaard.

Volgens het Hof kunnen standaardcontractbepalingen nog steeds een geldige basis vormen voor de doorgifte van gegevens naar landen buiten de EU, maar alleen als in de praktijk een gelijkwaardig beschermingsniveau kan worden gegarandeerd. Omdat Uber vanaf augustus 2021 geen gebruik meer maakte van de Standard Contractual Clauses, waren de gegevens van chauffeurs uit de EU onvoldoende beschermd, aldus de Nederlandse Autoriteit Persoonsgegevens. Sinds eind vorig jaar maakt Uber gebruik van de opvolger van het Privacy Shield.

Klachten van chauffeurs

De Nederlandse Autoriteit Persoonsgegevens (AP) startte een onderzoek naar Uber nadat ruim 170 Franse chauffeurs een klacht hadden ingediend bij de Franse mensenrechtenorganisatie Ligue des droits de l’Homme (LDH). De organisatie diende vervolgens een klacht in bij de Franse AP.Op grond van de AVG hebben bedrijven die gegevens verwerken in meerdere EU-lidstaten te maken met één DPA : de autoriteit in het land waar het bedrijf zijn hoofdvestiging heeft. Het Europese hoofdkantoor van Uber is gevestigd in Nederland. Tijdens het onderzoek werkte de Nederlandse DPA nauw samen met de Franse DPA en coördineerde het besluit met andere Europese DPA’s.

Boete voor Uber

Alle DPA’s in Europa berekenen de hoogte van de boetes voor bedrijven op dezelfde manier. Die boetes bedragen maximaal 4% van de wereldwijde jaaromzet van een bedrijf. Uber had in 2023 een wereldwijde omzet van ongeveer 34,5 miljard euro. Uber heeft aangegeven bezwaar te willen maken tegen de boete.Dit is de derde boete die de Nederlandse Autoriteit Persoonsgegevens aan Uber oplegt. De Nederlandse Autoriteit Persoonsgegevens legde Uber in 2018 een boete op van 600.000 euro en in 2023 een boete van 10 miljoen euro . Uber heeft bezwaar aangetekend tegen deze laatste boet