Платформа Uber оштрафована на €290 000 000 (около $324 млн по текущему обменному курсу) за нарушение Общего регламента ЕС по защите данных (GDPR). Штраф связан с передачей персональных данных водителей из Европейского Союза в США, где находится основной бизнес Uber.
GDPR допускает штрафы в размере до 4% от мирового годового оборота за несоблюдение. Годовой доход Uber за 2023 год составил около €34,5 млрд, поэтому уровень санкций значительно ниже этого максимума.
Штраф стал результатом серии жалоб, поданных более чем 170 водителями Uber во Франции в 2021 году. Голландский регулятор, Управление по защите данных Нидерландов (AP), возглавляет надзор за соблюдением GDPR в отношении Uber, поскольку у компании есть основное представительство в ЕС в этой стране. Он расследовал жалобы на то, как компания обрабатывает персональные данные водителей.
В январе Uber был оштрафован на €10 млн за права доступа к данным, относящиеся к тем же жалобам. Но новый штраф затмевает предыдущий штраф и занимает новое место в списке технологических гигантов, пострадавших от десяти крупнейших штрафов GDPR, чуть ниже середины таблицы. Размер штрафа отражает серьёзность нарушения, сообщает AP, которое в пресс-релизе написало, что Uber не смог «надлежащим образом защитить данные, которые передавал из ЕС».
Проблема защиты данных связана с программами слежки разведывательного агентства национальной безопасности США, которые после разоблачений информатора ANB Эдварда Сноудена в 2013 году суды в Европе неоднократно признавали представляющими риск для защиты данных и прав на неприкосновенность частной жизни граждан ЕС.
Американские технологические гиганты, которые отвечают за большую часть потоков данных между ЕС и США, по сути, годами находятся в центре этого конфликта. Бизнес-модели, которые полагаются на интеллектуальный анализ данных (и, следовательно, на доступ к персональным данным в открытом виде), также особенно подвержены правовому риску конфиденциальности.
«В Европе GDPR защищает основные права людей, требуя от предприятий и правительств обращаться с персональными данными с должной осторожностью. Но, к сожалению, это не является самоочевидным за пределами Европы», — написал в заявлении председатель голландской DPA Алейд Вольфсен.
Жалобы на Uber были поданы в период, когда между ЕС и США не было согласованной структуры передачи данных высокого уровня. В июле 2020 года высший суд блока отменил механизм Privateness Protect, на который компания и тысячи других полагались для авторизации экспорта своих данных.
Новое соглашение о передаче данных между ЕС и США не было согласовано и принято до июля 2023 года, то есть в течение трех лёт сохранялась высокая правовая неопределённость в отношении экспорта данных.
Цифровые компании были особенно уязвимы в этот период, учитывая ориентированную на данные природу их бизнеса. И Uber — не единственный технологический гигант, которого это задело: Meta* получила рекордный штраф GDPR в размере €1,2 млрд ещё в мае 2023 года.
В случае с Uber Управление по защите данных Нидерландов заявило, что собранные и экспортированные данные включали «конфиденциальную» информацию о водителе, в том числе данные счетов, лицензии такси, данные о местоположении, фотографии, платёжные реквизиты, документы, удостоверяющие личность, а в некоторых случаях даже данные о судимостях и состоянии здоровья водителей.
«В течение более чем 2 лет Uber передавал эти данные в штаб-квартиру Uber в США, не используя инструменты передачи. Из-за этого защита персональных данных была недостаточной», — говорится в пресс-релизе.
Uber не согласен со штрафом. Компания отрицает какое-либо несоблюдение и пообещала подать апелляцию на принудительное исполнение в суд. Представитель Uber Каспар Никсон пишет: «Это ошибочное решение и чрезвычайный штраф совершенно необоснованы. Процесс передачи данных Uber соответствовал GDPR в течение 3-летнего периода огромной неопределённости между ЕС и США. Мы подадим апелляцию и уверены, что здравый смысл восторжествует».
Компания утверждает, что обращалась за указаниями в AP в период, когда не было соглашения высокого уровня о передаче данных между ЕС и США, но регулятор не предоставил никакой ясности относительно наличия проблем с её процессами.
AP предполагает, что Uber соблюдает требования с конца прошлого года, когда начал использовать преемника Privateness Protect. Uber утверждает, что процессы, которые теперь считаются соответствующими в рамках этой новой структуры передачи данных, — те же самые, что он использовал раньше.
В рекомендациях Европейского совета по защите данных за этот период содержится информация о дополнительных мерах, которые, по словам надзорного органа по данным, компаниям, возможно, придётся применять для повышения уровня защиты экспорта данных, чтобы гарантировать соответствие потоков данных требованиям GDPR, например, переход на локализацию данных или применение форм шифрования с «нулевым доступом», которые означают, что экспортируемые данные не подлежат доступу.
Uber утверждает, что не получил никаких указаний от AP о том, что его процессы не соответствуют требованиям GDPR. Однако AP утверждает, что компания должна была знать о необходимости дополнительных мер для защиты данных.
«Компания должна была знать о необходимости дополнительных мер для защиты данных. Мы не можем предоставить компании карту, которая показывает, каким образом они должны действовать. Компания должна сама определить, какие меры необходимы для защиты данных», — сказал представитель AP.
Решение AP может иметь серьёзные последствия для других компаний, которые работают в ЕС и США. Компании, которые не обеспечивают соответствие своих процессов требованиям GDPR, могут столкнуться с серьёзными штрафами и другими санкциями.
*Meta признана экстремистской и террористической организацией на территории РФ, её деятельность запрещена