De Autoriteit Persoonsgegevens (AP) legt Uber een boete op van 290 miljoen euro wegens een ernstige overtreding van art. 44 van de Algemene verordening gegevensbescherming (AVG). De AP heeft geconstateerd dat Uber persoonsgegevens van Europese taxichauffeurs heeft doorgegeven naar de Verenigde Staten (VS) en dat Uber daarbij de gegevens onvoldoende heeft beschermd. Inmiddels heeft Uber de overtreding beëindigd.
Uber verzamelde onder meer gevoelige informatie van chauffeurs uit Europa en bewaarde die op servers in de VS. Het gaat om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens, identiteitsbewijzen en in sommige gevallen zelfs strafrechtelijke gegevens en medische gegevens van chauffeurs. Uber heeft die gegevens ruim 2 jaar lang doorgegeven naar het hoofdkantoor van Uber in de VS, zonder de gegevens voldoende te beschermen.
Privacy shield
Het Hof van Justitie van de EU (ECLI:EU:C:2020:559) heeft het EU-VS Privacy Shield in 2020 ongeldig verklaard. Daarmee konden organisaties in de EU geen persoonsgegevens aan de Verenigde Staten (VS) meer doorgeven op grond van het privacy shield. Volgens het Hof konden modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kon worden gewaarborgd. Omdat Uber vanaf augustus 2021 geen modelcontract meer heeft gebruikt, waren de gegevens van chauffeurs uit de EU volgens de AP onvoldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield. Uber noemt de boete ‘onterecht en onrechtvaardig’ en laat weten bezwaar te maken. Uber is het niet eens met de manier waarop de AP de regels interpreteert.