Uber krijgt boete van 290 miljoen euro voor niet-toegestane doorgifte naar VS

De Autoriteit Persoonsgegevens (‘AP’) heeft bekend gemaakt dat zij op 22 juli 2024 aan Uber een boete van € 290 miljoen heeft opgelegd. De reden? Uber heeft ruim 2 jaar lang zonder voldoende waarborgen persoonsgegevens van Europese taxichauffeurs doorgegeven naar haar hoofdkantoor in de Verenigde Staten (‘VS’). De AP ziet dit als een ernstige overtreding van de Algemene verordening gegevensbescherming (‘AVG’) en heeft daarom haar hoogste boete tot nu toe opgelegd.

Wat ging er mis?

Uber heeft gedurende meer dan 2 jaar gevoelige informatie van Europese chauffeurs verzameld, zoals locatiegegevens, foto’s, betalingsbewijzen, beoordelingen, ID-bewijzen en zelfs medische gegevens, en bewaarde deze op servers van het hoofdkantoor van Uber in de VS. Dit gebeurde zonder de door de AVG voorgeschreven waarborgen en zonder afdoende rechten en rechtsmiddelen voor de betrokken personen. Dit betekent dat Uber over een langere periode de AVG heeft overtreden.

Overwegingen AP

De AP benadrukt dat de AVG de grondrechten van mensen in Europa beschermt door te eisen dat bedrijven zorgvuldig met persoonsgegevens omgaan. Buiten Europa is dit echter niet vanzelfsprekend, en daarom zijn extra maatregelen nodig bij het opslaan van gegevens buiten de Europese Unie. Nadat in 2020 het EU-VS Privacy Shield als doorgiftemogelijkheid ongeldig is verklaard, had Uber een ander doorgifte-mechanisme moeten gebruiken om voornoemde waarborgen en rechten van betrokkenen te kunnen blijven bieden. Uber heeft dat niet gedaan en is daar nu serieus door de AP voor op de vingers getikt.

Hoogte van de boete

De AP vindt het een dermate ernstige overtreding van de AVG dat zij een boete van € 290 miljoen aan Uber oplegt. Daarbij neemt de AP mee dat het gaat om een langdurige, grensoverschrijdende en omvangrijke doorgifte naar de VS (waarvan bekend was dat de VS een ontoereikend beschermingsniveau bood voor betrokkenen), dat de chauffeurs in een (afhankelijke) hiërarchische relatie tot Uber stonden en dat de doorgifte veelal gevoelige persoonsgegevens betrof.

Hoewel de AP formeel gezien maximaal een boete van 4% van de jaaromzet van Uber had mogen opleggen (wat neer zou komen op een boete van €1.369 miljard), heeft de AP de boete dus vastgesteld op € 290 miljoen.

Het is overigens niet de eerste keer dat Uber een boete krijgt van de AP. In 2018 kreeg het bedrijf al een boete van € 600 duizend en in 2023 een boete van € 10 miljoen. Uber heeft bezwaar gemaakt tegen de boete uit 2023 en heeft al aangekondigd ook tegen deze boete bezwaar aan te tekenen.

Afsluitend

De boete aan Uber geeft aan dat ook een intra-concern doorgifte van persoonsgegevens moet voldoen aan de in de AVG aan doorgifte gestelde eisen. Zeker bij een doorgifte naar de VS van (gevoelige) gegevens grijpt de AP daar dus hard op in.

Ook in dit geval geldt dus: blijf zicht houden op wat er met je data en persoonsgegevens gebeurt. Xander Alders of een van zijn collega’s uit het privacy team van Pellicaan Advocaten kunnen u desgewenst helpen met het in kaart brengen daarvan.