企業網站
荷蘭資料保護局 (Autoriteit Persoonsgegevens, AP) 因違反 GDPR 對 Uber Technologies Inc. 和 Uber BV 處以 2.9 億歐元(3.25 億美元)的罰款。
該機構指控Uber將個人資料從歐洲經濟區(EEA)轉移到美國的服務商,而沒有依照《一般資料保護條例》第五章的規定採取足夠的保障措施。
這是荷蘭資料保護局第三次對Uber處以行政處罰。
第一個是2018年11月因資料存取控制不善而被處以60萬歐元的罰款。
美聯社對Uber資料行為的調查是由法國司機的投訴引發的,並由法國資料保護機構(CNIL)上報給美聯社。
該問題是歐盟法院Schrems II裁決因美國資料保護標準不足而導致歐盟-美國隱私權護盾無效後出現的。
儘管做出了裁決,Uber訴狀仍必須繼續將個人資料傳輸到美國,而沒有實施標準合約條款(SCC)或其他保障措施,從而違反了GDPR第44條,該條規定向第三國傳輸資料確保與美國境內同等級的保護歐盟。
愛爾蘭資料保護委員會 (DPC) 也因對 Meta (Facebook) 的侵權行為處以 13 億美元巨額罰款。 。
企業網站 優步的回應
優步辯稱,GDPR第五章不適用,因為GDPR第3條已經將法規的保護範圍擴大到了其在美國的處理活動。
此外,該科技公司聲稱,根據 GDPR 的定義,不會發生任何資料傳輸,因為司機該出行應用程式直接向 Uber 位於美國的伺服器提供資料。
美聯社拒絕了這些論點,並開始加強加大大規模的措施。
在回應我們的置評請求時,Uber 高級人士告訴 BleepingComputer,他們認為裁決不合理,併計劃決定提出上訴。
「這項缺陷的決定和巨額支出是不合理的。在歐盟和美國之間,我們在三年內完全存在不確定性,Uber 的跨境資料傳輸流程符合 GDPR。將提出上訴,並確定常識將佔上風。
Uber堅稱,其隱私權聲明中規定的資料處理方式遵守GDPR。
上訴過程可能在 4 年結束,在此期間戒嚴需要被暫停。