Holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens − AP) nałożył na Ubera 290 mln euro kary za przekazywanie danych osobowych europejskich taksówkarzy do Stanów Zjednoczonych bez zapewnienia im odpowiedniej ochrony.

Zrzeszające największe firmy cyfrowe stowarzyszenie CCIA Europe, do którego należy twórca aplikacji służącej do zamawiania usług transportu samochodowego, podkreśla, że kara dotyczy okresu niepewności prawnej w odniesieniu do zgodnego z RODO transferu danych osobowych z Unii Europejskiej do USA.

Przez lata podstawą prawną takiego transferu była umowa ramowa − Bezpieczna Przystań. Po unieważnieniu jej przez Trybunał Sprawiedliwości UE (wyrok w sprawie Schrems I z 2015 r.) Unia i USA zawarły nową umowę − Tarcza Prywatności. Spotkał ją jednak ten sam los (Schrems II z 2020 r.). TSUE orzekł, że przekazywane za ocean dane osobowe nie są tam chronione na poziomie równorzędnym z RODO, gdyż inwigilacja prowadzona przez USA nie jest zgodna z prawem unijnym − nie wymaga bowiem spełnienia obiektywnego kryterium uzasadniającego ingerencję rządu w prywatność obywateli.

Kolejne porozumienie w sprawie danych, umowa ramowa – DPF (od angielskiej nazwy Data Privacy Framework), obowiązuje dopiero od lipca ub.r. W międzyczasie jednak dane wciąż przekazywano z Unii do USA − np. korzystając z oferowanych przez amerykańskich dostawców usług chmury obliczeniowej czy też aplikacji biurowych. Jako podstawę prawną ochrony danych firmy z UE stosowały w tym czasie tzw. standardowe klauzule umowne. Przy ich podpisywaniu należało ocenić ryzyko, sprawdzając, czy w kraju docelowym jest odpowiedni poziom ochrony danych.

Dane osobowe nie były odpowiednio chronione

Jak jednak stwierdził holenderski organ ochrony danych, Uber od sierpnia 2021 r. nie stosował standardowych klauzul umownych – a mimo to przez dwa lata nadal przesyłał na serwery w USA dane kierowców, w tym dotyczące m.in. ich licencji taksówkarskich czy lokalizacji, a w niektórych przypadkach nawet dane medyczne.

W tej sytuacji AP stwierdził, że dane osobowe były niewystarczająco chronione. Jak podkreśla prezes urzędu Aleid Wolfsen, w Europie ochronę praw podstawowych przy przetwarzaniu danych osobowych zapewnia RODO. Poza Europą nie jest to jednak oczywiste. „Dlatego przedsiębiorstwa są zazwyczaj zobowiązane do podjęcia dodatkowych środków, jeśli przechowują dane osobowe Europejczyków poza Unią Europejską. Uber nie spełnił wymogów RODO, aby zapewnić poziom ochrony danych w związku z transferami do USA” – wyjaśnia Wolfsen.

Kto złożył skargę?

Skargę na firmę złożyła francuska Liga Praw Człowieka (LDH), do której zwróciło się ponad 170 francuskich kierowców z tego kraju. Tamtejszy organ ochrony danych (CNIL) przekazał sprawę do organu w Hadze, bo europejska siedziba Ubera znajduje się w Holandii.

Jak podaje AP, Uber wyraził zamiar odwołania się od kary.

CCIA podkreśla, że od unieważnienia Tarczy Prywatności do przyjęcia DPF „europejskie i amerykańskie firmy pozostały bez jasnych wytycznych dotyczących transatlantyckich przepływów danych”. Jeśli zatem organy ochrony danych zaczną teraz nakładać kary za ten okres, zdelegalizują sposób, w jaki funkcjonował wtedy internet.©℗