Početna Blog Kazna o kojoj svi govore

Kazna o kojoj svi govore

Svi članci
30.08.2024.

Prošli mjesec nizozemsko nadzorno tijelo za zaštitu podataka (DPA) kaznilo je Uber s 290 milijuna eura zbog kršenja Opće uredbe o zaštiti podataka (GDPR). Nakon niza pritužbi francuskih vozača Ubera, DPA je utvrdio da je Uber prenosio osobne podatke koji se odnose na europske vozače u SAD, a da pritom nije adekvatno zaštitio te podatke što je DPA je označio kao 'ozbiljno kršenje GDPR-a'. Budući da je Uber izvršio te prijenose bez provedbe standardnih ugovornih klauzula (SCC) ili drugih zaštitnih mjera za prijenos, nizozemski DPA utvrdio je da je tvrtka prekršila članak 44. GDPR-a i izdao kaznu u iznosu od oko 1% Uberovih prihoda u 2023. godini.

Nizozemski DPA pokrenuo je istragu o Uberu nakon što se više od 170 francuskih vozača žalilo francuskoj udruzi za ljudska prava Ligue des droits de l’Homme (LDH), koja je potom podnijela žalbu francuskom DPA-u.

Nizozemski DPA nadležan je za istragu jer je Uberovo europsko sjedište u Amsterdamu. Nizozemski DPA blisko je surađivao s CNIL-om, francuskim DPA-om, te je koordinirao odluku o kazni i s drugim europskim nadzornim tijelima.

Uber je kažnjen zbog nepoštivanja strogih zahtjeva GDPR-a za prijenos osobnih podataka izvan Europskog gospodarskog prostora (EEA). Utvrđeno je da je prekršeno V. poglavlje GDPR-a, koje je povezano s prijenosom podataka u treće zemlje. Osobni podaci su prenošeni u Uberovo sjedište u SAD-u bez korištenja sigurnih alata za prijenos i to tijekom dvogodišnjeg razdoblja.

Neizvjesnost je započela nakon što je Sud pravde Europske unije poništio okvir za prijenos podataka poznat kao EU-US Privacy Shield 2020. godine. 

Sud pravde EU-a poništio je Privacy Shield 2020. Prema Sudu, standardne ugovorne klauzule i dalje bi mogle pružiti valjanu osnovu za prijenos podataka u zemlje izvan EU-a, ali samo ako se u praksi može zajamčiti jednaka razina zaštite. Budući da Uber od kolovoza 2021. više nije koristio Standardne ugovorne klauzule, podaci vozača iz EU nisu bili dovoljno zaštićeni.

Dakle, Uber je prikupljao osjetljive informacije od vozača u Europi i pohranjivao ih na poslužitelje sa sjedištem u SAD-u. Ti podaci uključuju ne samo podatke o računu, vozačkim dozvolama i podatke o lokaciji, već i fotografije, podatke o plaćanju, kopije osobnih iskaznica, a u nekim slučajevima čak i podatke o kaznenim djelima i zdravlju vozača – koji su dodatno zaštićeni prema GDPR-u.

Prijenos koji se smatrao nezakonitim je trajao više od dvije godine. Vozači u tom periodu nisu bili obavještei o problemima i rizicima niti su za prijenos dali pristanak. 

Ovo je treća kazna koju je Uberu izreklo nizozemsko nadzorno tijelo (2018. Uber je kažnjen sa 600.000 eura, a 2023. s 10 milijuna eura).  Zadnja kazna od 290 milijuna eura daleko je najveća kazna koju je izreklo nizozemsko DPA u svojoj povijesti.

No, osim što je to najveća kazna nizozemskog nadzornog tijela jedna je to od 10 najvećih kazni za kršenje GDPR-a uopće. Iznosom se očito htjela naglasiti ozbiljnost slučaja i namjera DPA da postavi visoke standarde primjene propisa o zaštiti podataka, ali i da poruči koliko je zaštita podataka važna za njih kao nadzorno tijelo te do kuda su spremni ići sa izricanjem kazni. Uberovi financijski resursi i opsežna priroda prijenosa podataka, koji je uključivao brojne vozače tijekom dugog razdoblja, utjecali su svakako na visinu kazne.

Sva nadzorna tijela u Europi izračun iznosa kazni izračunavaju za sva poduzeća na isti način držeći se smjernica EDPB-a. Te kazne iznose maksimalno 4% svjetskog godišnjeg prometa poduzeća. Uber je 2023. imao svjetski promet od oko 34,5 milijardi eura.

Što će Uber dalje?

Uber će se žaliti na kaznu, što će obustaviti izvršenje kazne. Proces žalbe može trajati i do četiri godine.

Što bi bilo da je imao SCC kaluzule?

Čak i da je Uber uveo SCC ili BCR, vjerojatno bi se suočio sa istovrsnim problemima kao i Meta. Prošlogodišnja kazna od 1,2 milijarde eura protiv Mete pokazala je da ni SCC klauzule nisu jamstvo. Meta je imala SCC-ove, ali je unatoč tome utvrđeno da nije provela "dodatne mjere" kako bi fizički spriječili vladu SAD-a da pristupi podacima. Osnovni problem bio je u tome što je Uber izbacio SCC-ove iz svog sporazuma među kompanijama. Uber je tvrdio da, budući da je njegov entitet u SAD-u podložan GDPR-u prema članku 3. stavku 2., pravila o prijenosu podataka se ne primjenjuju i nema potrebe za SCC-ovima.

Slučaj naglašava izazove s kojima se suočavaju globalne tehnološke tvrtke u upravljanju zahtjevima zaštite podataka, posebno u svjetlu poništenja EU-US Privacy Shielda. Nova Odluka o primjerenosti djelomično je riješila neke probleme vezane uz prijenos podataka, no ostaje vidjeti što će se sa istom događati u godini njezine revizije (hoće li do iste doći?).... Do tada ne zaboravite da sa SCC kaluzulama niste sigurni. Tu su i TIA, sigurnosni mehanizmi prijenosa i mnoge druge obveze kojih niste oslobođeni i nuži su koraci da biste implementirali zahtjeve Opće uredbe o zaštiti podataka (GDPR).

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori