Onduidelijkheid over omgang persoonsgegevens van chauffeurs komt Uber duur te staan
23 februari 2024Informatie over bewaartermijnen
Op grond van artikel 13 AVG moet de verwerkingsverantwoordelijke – in dit geval Uber – aan de betrokkenen – de chauffeurs – mededelen hoe lang zijn of haar persoonsgegevens bewaard zullen worden. Indien het niet mogelijk is deze termijn te delen, moet de verwerkingsverantwoordelijke de criteria ter bepaling van die termijn delen.
Uber stelde zich op het standpunt dat het onmogelijk was alle bewaartermijnen op te nemen, omdat dit tot een te lang en onoverzichtelijk document zou leiden. Uber vermeldde daarom alleen dat persoonsgegevens zolang worden bewaard als noodzakelijk is voor bepaalde doeleinden.
Deze algemene bewoording voor de bepaling van de bewaartermijn is echter niet toereikend op grond van de AVG, zo oordeelt de AP. Om aan de verplichtingen te voldoen moet de betrokkene geïnformeerd worden over de criteria aan de hand waarvan de bewaartermijnen worden vastgesteld. Dit betekent dat de betrokkene moet kunnen beoordelen aan de hand van de gegeven criteria welke bewaartermijn op hem of haar van toepassing is.
Informatie over doorgifte persoonsgegevens
Ook met betrekking tot het informeren van de betrokkenen over de doorgifte van persoonsgegevens geeft de AP aan dat Uber niet aan haar informatieverplichtingen heeft voldaan. Op Uber rustte de verplichting om de betrokkene te informeren over doorgifte van zijn of haar persoonsgegevens naar een ‘derde land’. Hiervan is sprake wanneer persoonsgegevens worden doorgegeven aan een land buiten de EER (de EU-landen plus Noorwegen, IJsland en Liechtenstein).
Doorgifte van persoonsgegevens naar een derde land is alleen toegestaan op basis van:
- Een adequaatheidsbesluit, waarin de Europese Commissie oordeelt dat in een land een passend niveau van gegevensbescherming aanwezig is.
- Andere passende waarborgen:
- Het gebruik van modelcontracten zoals vastgesteld door de Europese Commissie;
- Gedragscode of certificering;
- Binding corporate rules, deze gelden intern, bijvoorbeeld wanneer een bedrijf met meerdere vestigingen binnen en buiten Europa intern gegevens doorgeeft. Een van de Europese toezichthouders moet de binding corporate rules goedkeuren.
- Specifieke uitzonderingen zoals genoemd in artikel 49 van de AVG.
Indien er sprake is van doorgifte aan een derde land dient de verwerkingsverantwoordelijke de betrokkene te informeren welke van bovengenoemde waarborgen van toepassing is en hoe deze waarborgen kunnen worden ingezien.
Uber had niet aan deze verplichting voldaan. De informatie die Uber verstrekte aan betrokkenen was te algemeen. Uber gaf alleen aan dat persoonsgegevens werden doorgegeven aan derde landen en dat daarbij gebruik wordt gemaakt van ofwel een adequaatheidsbesluit ofwel passende en geschikte waarborgen, zonder dit te specificeren. Bovendien gaf Uber ook niet aan waar de passende waarborgen ingezien konden worden.
Ook de doorgiftelanden dienen expliciet genoemd te worden, aldus de AP. Het is immers voor de betrokkene van belang om te beoordelen welke grond per doorgifteland wordt ingeroepen voor de doorgifte, en wanneer bijvoorbeeld gebruik wordt gemaakt van modelcontracten ter bescherming van de persoonsgegevens, waar deze kunnen worden ingezien.
Inzageverzoek betrokkenen
Op grond van artikel 15 AVG moet de verwerkingsverantwoordelijke de betrokkene faciliteren in de uitoefening van zijn of haar rechten onder de AVG, zoals het recht op inzage. Dit recht houdt in dat de betrokkene moet kunnen vragen of er persoonsgegevens van hem of haar worden verwerkt, en zo ja, om welke persoonsgegevens het gaat en waarom en op welke manier die persoonsgegevens worden verwerkt.
In het geval van Uber oordeelt de AP dat Uber de betrokkenen niet goed genoeg heeft gefaciliteerd in het verkrijgen van de gewenste inzage. Reden voor dit oordeel is dat de chauffeurs van Uber in de Uber app onnodig veel stappen moeten doorlopen om bij een inzageverzoek terecht te komen. Als de stappen eenmaal zijn doorlopen en het verzoek tot inzage is gedaan, wordt de informatie ook nog eens niet toegankelijk gedeeld.
Uber deelt de opgevraagde informatie namelijk in CSV bestanden. Deze bestanden kunnen geschikt zijn, maar zijn dat in het geval van Uber niet. Voor het leesbaar maken van een CSV bestand is namelijk nodig dat zij in een tabel worden geopend, en dat gebeurt niet automatisch. Uber geeft vervolgens ook geen instructie over hoe de informatie wel in een tabel, en dus leesbaar, geopend kan worden.
Tot slot buigt de AP zich ook over de guidance notesdie door Uber worden gedeeld met uitleg over de waardes in de CSV-bestanden. Deze guidance notes worden alleen in het Engels verstrekt. Dit is geen duidelijke en eenvoudige taal voor Franse chauffeurs.
Conclusie
Op basis van de boete die is opgelegd aan Uber kan geconcludeerd worden dat betrokkenen op een toegankelijke manier inzage moeten kunnen krijgen in hun persoonsgegevens. Ook moeten betrokkenen concreet worden geïnformeerd over de doorgifte van hun persoonsgegevens en specifieke bewaartermijnen. Algemene bewoordingen volstaan niet.
Meer informatie of vragen?
Voldoet uw privacyverklaring aan de verplichtingen uit de AVG? Neem gerust contact met ons op indien u vragen heeft over de AVG of uw privacyverklaring wil laten toetsen. U kunt contact opnemen met Lisanne Wigboldus en Gijs van Dongen, telefonisch via 088 627 22 20 of per e-mail via lisanne.wigboldus@pellicaan.nl of gijs.vandongen@pellicaan.nl of een van de andere collega's van het Privacyteam.
