Uber otrzymał karę w wysokości 290 mln euro od holenderskiego organu nadzorczego za brak odpowiedniego zabezpieczenia transferów danych do USA w latach 2021-2023.
Przyczyny nałożenia kary
Organ nadzoru wskazał, że między sierpniem 2021 r. a listopadem 2023 r. Uber przesyłał dane swoich kierowców do siedziby głównej w USA, bez użycia odpowiednich mechanizmów transferu wskazanych w RODO, w szczególności standardowych klauzul umownych.
W 2020 roku Trybunał Sprawiedliwości UE unieważnił Tarczę Prywatności UE-USA, która była dotychczas stosowana przez Uber jako podstawa transferu danych do USA. Według wyroku TSUE standardowe klauzule umowne mogą być stosowane jako ważna podstawa do przekazywania danych do krajów spoza UE, ale tylko wtedy, gdy w praktyce można zagwarantować równoważny poziom ochrony do czasu uchwalenia nowego porozumienia UE-USA. Uber nie stosował standardowych klauzul umownych od sierpnia 2021 r. Dzięki interwencji organu nadzorczego, od końca 2023 Uber korzysta już z następcy Tarczy Prywatności- Transatlantyckich Ram Ochrony Danych.
Transfer danych do krajów trzecich – czyli dokąd i jak to zrobić?
Holenderski organ ochrony danych w swoim postępowaniu stwierdził, że Uber gromadził m.in. wrażliwe dane kierowców z Europy i przechowywał je na serwerach w USA. Dotyczy to danych kont i licencji taksówkarzy, ale także danych lokalizacyjnych, zdjęć, szczegółów płatności, dokumentów tożsamości, a w niektórych przypadkach nawet danych karnych i medycznych kierowców.
Holenderski organ stwierdził, że Uber naruszył art. 44 RODO, ponieważ administrator nie wdrożył odpowiednich zabezpieczeń w zakresie przekazywania danych do USA przed dołączeniem do Transatlantyckich Ram Ochrony Danych.
Echa upadku Tarczy Prywatności
Po wyroku TSUE w sprawie unieważnienia Tarczy Prywatności, która wcześniej stanowiła podstawę dla transferów danych, wiele firm zaczęło stosować standardowe klauzule umowne (SCC) w zastępstwie, choć one również wydawały się wątpliwą podstawą – nie spełniały bowiem wszystkich kryteriów bezpieczeństwa w odniesieniu do USA. Uber nie dysponując bezpiecznym mechanizmem transferu, a jednak przesyłając dane w dużym wolumenie i zakresie – naruszył zatem przepisy rozdziału 5 RODO.
Źródło:
