Uber bötfälls med 3,3 miljarder kronor för brott mot GDPR
Den nederländska dataskyddsmyndigheten har bötfällt Uber för att i mer än två års tid ha överfört europeiska taxiförares personuppgifter till USA utan tillräckligt skydd, vilket strider mot EU:s allmänna dataskyddsförordning (GDPR). Uber har bötfällts med ett historiskt belopp på 290 miljoner euro, vilket motsvarar 3,3 miljarder kronor. Beloppet utgör 1% av Ubers globala årsomsättning på 34,5 miljarder euro under 2023.
Uppgifterna som överfördes till USA innnefattade känslig information såsom kontouppgifter, taxilicenser, platsdata, foton, betalningsuppgifter, identitetshandlingar, brottsregister och sjukjournaler.
Vad har hänt?
Den nederländska tillsynsmyndigheten började undersöka Ubers regelefterlevnad av GDPR år 2021 efter att ha fått ett klagomål från 170 franska Uber-förare som anmälde företaget via människorättsgruppen Ligue des droits de l’Homme. Den franska myndigheten skickade vidare klagomålet till sin nederländska motsvarighet eftersom Uber har sitt huvudsakliga europeiska kontor i Nederländerna.
Enligt en av Uber-förarna som ingav klagomålet, Brahim Ben Ali, innebär det nederländska beslutet att ”Pandoras ask öppnas” eftersom ”efterlevnad av GDPR och personuppgiftshantering är Ubers akilleshäl.” Vidare uppgav han att "böterna kan få återverkningar på andra multinationella företag som överför data mellan USA och EU" för den europarättsliga tidskriften Euractiv..
Ytterligare tre klagomål från samma 170 förare, inklusive ett om automatiska avstängningar av Uber-konton, granskas för närvarande i Amsterdam.
Överföring av personuppgifter till USA
GDPR gäller för alla organisationer som behandlar EU-invånares personuppgifter, även om organisationen är baserad utanför EU, såsom Uber som har sitt huvudkontor i USA.
För att kunna överföra personuppgifter från EU till USA krävs särskilda avtal eller en anslutning till ett särskilt ramverk (EU-US Data Privacy Framework). Under lång tid använde Uber så kallade SCC-avtal (standardavtalsklausuler), vilket är EU-godkända avtal som hjälper till att skydda personuppgifter vid överföringar utanför EU. Uber slutade dock att använda dessa avtal i augusti 2021.
I november 2023 anslöt sig Uber till det nya ramverket. Det som nu har granskats av tillsynsmyndigheten är perioden mellan augusti 2021, när Uber slutade använda SCC-avtal, och november 2023, när Uber anslöt sig till det nya ramverket.
Under denna mellanperiod hade Uber inga tillräckliga skyddsåtgärder på plats för att skydda personuppgifter som överfördes till USA. Detta ledde till att tillsynsmyndigheten beslutade att utdöma en sanktionsavgift mot Uber för att de inte följde reglerna under denna tid.
Slutsats
Ubers böter på 3,3 miljarder kronor belyser de allvarliga konsekvenserna som företag kan drabbas av när de inte uppfyller sina skyldigheter enligt dataskyddsförordningen. Beslutet tydliggör vikten av att företag som hanterar personuppgifter om EU-invånare, även om de är baserade utanför EU, noggrant följer GDPR:s krav.
Beslutet kan få konsekvenser för andra företag som hanterar personuppgifter globalt. Innan en tredjelandsöverföring sker behöver det därför säkerställas att både tekniska och organisatoriska säkerhetsåtgärder införs. Det kan också vara nödvändigt att ha alternativa skyddsåtgärder eller en exit-plan i beredskap, ifall nödvändiga avtal upphör eller skyddsmekanismer upphävs.