AP legt Uber boete op van 290 miljoen euro

De Autoriteit Persoonsgegevens (AP) heeft Uber een boete opgelegd van 290 miljoen euro. AP constateerde dat Uber persoonsgegevens van Europese taxichauffeurs heeft doorgegeven aan de Verenigde Staten, zonder daarbij de vereiste bescherming te waarborgen. Dit vormt volgens de AP een ernstige schending van de Algemene verordening gegevensbescherming (AVG). Inmiddels heeft Uber de overtreding beëindigd. Uber gaat bezwaar aantekenen tegen de opgelegde boete.

"De AVG beschermt in Europa de fundamentele rechten van mensen door bedrijven en overheden te verplichten zorgvuldig met persoonsgegevens om te gaan," verklaart Aleid Wolfsen, voorzitter van de AP. "Helaas is die bescherming buiten Europa niet altijd vanzelfsprekend. Denk bijvoorbeeld aan overheden die data op grote schaal kunnen onderscheppen."

Bedrijven die persoonsgegevens buiten de Europese Unie opslaan, zijn doorgaans verplicht extra maatregelen te treffen om een gelijkwaardig beschermingsniveau te garanderen. Uber heeft nagelaten het vereiste beschermingsniveau te waarborgen bij de doorgifte van gegevens naar de VS, wat de AP als een zeer ernstige overtreding kwalificeert.

Gevoelige gegevens
Uber verzamelde onder meer gevoelige informatie van chauffeurs uit Europa en bewaarde die op servers in de VS. Het gaat om accountgegevens en taxilicenties, maar ook om locatiegegevens, foto’s, betaalgegevens, identiteitsbewijzen en in sommige gevallen zelfs strafrechtelijke gegevens en medische gegevens van chauffeurs.

Uber heeft die gegevens ruim 2 jaar lang doorgegeven naar het hoofdkantoor van Uber in de VS, zonder gebruik te maken van een doorgifte-instrument. Daardoor was de bescherming van persoonsgegevens niet goed genoeg.

Het Hof van Justitie van de EU heeft het EU-VS Privacy Shield in 2020 ongeldig verklaard. Volgens het Hof konden modelcontracten nog wel een geldige grondslag bieden voor doorgifte van gegevens naar landen buiten de EU. Maar alleen als een gelijkwaardig beschermingsniveau in de praktijk kon worden gewaarborgd. Omdat Uber vanaf augustus 2021 geen modelcontract meer heeft gebruikt, waren de gegevens van chauffeurs uit de EU volgens de AP onvoldoende beschermd. Uber maakt sinds eind vorig jaar gebruik van de opvolger van het Privacy Shield.

Klachten van chauffeurs
De AP is een onderzoek gestart naar Uber nadat meer dan 170 Franse chauffeurs een klacht indienden bij de Ligue des droits de l’Homme (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder.

De AVG regelt dat bedrijven die gegevens in verschillende EU-landen verwerken, met één privacytoezichthouder te maken hebben: die in het land waar het bedrijf is gevestigd. Het Europese hoofdkantoor van Uber zit in Nederland. Tijdens het onderzoek heeft de AP nauw samengewerkt met de Franse toezichthouder en het boetebesluit afgestemd met andere Europese toezichthouders.

Boete voor Uber
Alle privacytoezichthouders in Europa berekenen op dezelfde manier de hoogte van boetes voor bedrijven. Die boetes bedragen maximaal 4% van de wereldwijde jaaromzet van een bedrijf. Uber had in 2023 een wereldwijde omzet van zo’n 34,5 miljard euro. Uber heeft aangekondigd bezwaar tegen de boete te zullen aantekenen.

Dit is de derde boete die de AP oplegt aan Uber. In 2018 legde de AP Uber een boete op van 600.000 euro en in 2023 een boete van 10 miljoen euro. Uber heeft tegen die laatste boete bezwaar gemaakt.