未妥善保障司機個資 荷蘭對Uber罰款3.24億美元
荷蘭資料保護監管機構周一 (26 日) 對叫車服務 Uber (UBER-US) 處以 2.9 億歐元(3.24 億美元)罰款,因其涉嫌在沒有充分保護情況下將歐洲司機的個資傳輸到美國。 Uber 稱這項決定有缺陷且不合理,並表示將上訴。
荷蘭資料保護局 (DPA) 表示,歷時兩年多的資料傳輸嚴重違反了歐盟的《通用資料保護條例》(GDPR);該條例要求採取保護使用者資料的技術和組織措施。
荷蘭 DPA 主席沃爾夫森 (Aleid Wolfsen) 在聲明中表示:「在歐洲,GDPR 要求企業和政府謹慎處理個人數據,從而保護人們的基本權利。」「但遺憾的是,這在歐洲之外並不是理所當然。這就是為什麼企業如果將歐洲人的個資儲存在歐盟以外的地方,通常有義務採取額外措施。Uber 沒有滿足 GDPR 的要求,無法確保傳輸到美國的資料受到保護,這是非常嚴重的。」
該案件是由 170 名法國 Uber 司機投訴發起的,但荷蘭當局是因 Uber 的歐洲總部位於荷蘭而開出了罰款。
Uber 堅稱自己沒有做錯任何事,「這個有缺陷的決定和超額罰款是完全不合理的。在歐盟和美國之間存在巨大不確定性的三年期間,Uber 的跨境資料傳輸流程符合 GDPR。」
在這次所謂的違規行為發生之前,歐盟最高法院於 2020 年裁定一項名為「隱私盾」的協議無效;該協議允許從科技巨頭到小型金融公司的數千家公司將資料傳輸到美國,讓美國政府得以窺探人們的隱私。
荷蘭資料保護機構表示,根據歐盟法院的裁決,合約中的標準條款可以為向歐盟境外傳輸資料提供基礎,「但前提是在執行時能夠保證同等程度的保護。」
該監管機構表示:「由於 Uber 從 2021 年 8 月起不再使用標準合約條款,歐盟司機的數據沒有得到充分保護。」它補充說,自去年年底以來,Uber 一直在使用隱私盾的後續版本,結束所謂的違規行為。
這並不是荷蘭資料保護監管機構第一次對 Uber 處以罰款。今年 1 月,該機構對其處以 1000 萬歐元罰款,原因是該公司未能披露保留歐洲司機數據的時間,也未能透露其共享數據的非歐盟國家的名稱。