近日,荷兰数据保护局指控优步科技公司在未采取《通用数据保护条例》第五章规定的充分保障措施的情况下,将个人数据从欧洲经济区(EEA)转移至美国的服务器,称其违反了GDPR 规定,对其处以罚款 23.18亿元罚款,这是荷兰数据保护局第三次对 Uber 处以行政罚款。
第一起是 2018 年 11 月因数据访问控制不力被罚款60万欧(约合人民币 479 万元)。第二项是 2024 年 1 月因 Uber 在处理欧盟主体数据方面的模糊数据管理做法而被处以 1000万欧(约合人民币 7989 万元)的罚款。
此次调查的起因,是法国的一个人权组织代表当地170多名出租车司机向该国数据保护机构提出投诉。然而由于Uber的欧洲总部设在荷兰,因而此案被转交给了DPA。与此同时,法国国家数据保护监管局(CNIL)也表示已与DPA取得合作。
DPA透露,Uber在美国的服务器上收集并保存了司机的账户信息、出租车牌照、位置数据、照片、付款细节和身份证件等重要数据,在某些情况下甚至还有犯罪和医疗数据。DPA方面表示,Uber将个人数据转移到美国,但未能妥善保护这些数据。这严重违反了《通用数据保护条例》(GDPR)。
Uber 不满判决提起上诉,流程将持续大约四年
2018年5月,欧盟正式出台了GDPR,对违法企业的罚款最高可达2000万欧元(约合人民币1.6亿元)或其全球营业额的4%,以高者为准。在Uber之前,Meta曾因违反GDPR于2023年被处以12亿欧元(约合人民币95.5亿元)的罚款,这也是迄今为止数额最大的一笔罚款。
对于处罚,Uber发言人卡斯帕·尼克松(Caspar Nixon)回应路透社称,Uber将提起上诉,并相信“常识将占上风”。他认为这一决定存在有缺陷,罚款数额也过大,是完全没有道理的。他表示,在欧盟和美国之间存在“巨大不确定性的3年”期间,Uber的跨境数据传输流程符合GDPR。
按照相关规定,不满判决的Uber可以向DPA上诉,如果上诉不成功,则可以向荷兰法院提起诉讼。而根据DPA的说法,整个上诉流程预计将持续大约四年的时间,且在所有法律资源用尽之前,任何罚款都不会被执行。
参考来源:Uber fined $325 million for moving driver data from Europe to US (bleepingcomputer.com)
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022