Uber gjobiti 324 milionë dollarë për shkeljen e transferimit të dhënave nga drejtuesit e BE-së
Platforma e udhëtimit Uber është gjobitur me 290 milionë euro – rreth 324 milionë dollarë me kursin aktual të këmbimit – nga mbikëqyrësi i privatësisë së Holandës për shkelje të Rregullores së Përgjithshme të Mbrojtjes së të Dhënave të Bashkimit Europian (GDPR).
Dënimi lidhet me transferimet e të dhënave personale të shoferëve jashtë Bashkimit Evropian në SHBA, ku ndodhet biznesi kryesor i Uber. GDPR lejon që gjobat deri në 4% të qarkullimit vjetor global të vendosen për mospërputhje.
Të ardhurat e vitit të plotë të Uber për vitin 2023 ishin rreth 34.5 miliardë euro – kështu që niveli i sanksionit është shumë nën atë maksimum. Megjithatë, është ende një shumë e dukshme pasi është ndër gjobat më të mëdha të vendosura ndaj një kompanie teknologjike që nga fillimi i funksionimit të GDPR në 2018.
Gjoba është rezultat i një sërë ankesash të bëra nga më shumë se 170 shoferë të Uber në Francë në vitin 2021. Rregullatori holandez, Autoriteit Persoonsgegevens (ose AP), drejton mbikëqyrjen e GDPR të Uber pasi kompania ka themelimin e saj kryesor në BE në vendin. Ai hetoi ankesat se si kompania përpunon të dhënat personale të shoferëve. Ankesat u dorëzuan përmes një organizate për të drejtat e njeriut, Ligue des droits de l’Homme (LDH), tek mbikëqyrësi i privatësisë së Francës dhe më pas iu kaluan AP.
Në janar, Uber u gjobit me 10 milionë euro për të drejtat e aksesit të dhënave në lidhje me të njëjtat ankesa. Por gjoba e re e shpallur të hënën zvogëlon dënimin e mëparshëm – duke e zbarkuar atë një vend të ri në listën e gjigantëve të teknologjisë të goditur me 10 gjobat më të mëdha të GDPR , pak më poshtë në mes të tabelës.
Madhësia e dënimit pasqyron seriozitetin e shkeljes, sipas AP, e cila shkroi në një deklaratë për shtyp se Uber kishte dështuar në “mbrojtjen e duhur” të të dhënave që i transferoi jashtë BE-së – duke e quajtur atë “një shkelje serioze”.
Problemi i ruajtjes së të dhënave lidhet me programet e mbikëqyrjes së agjencisë amerikane të inteligjencës kombëtare të sigurisë, të cilat – në vazhdën e zbulimeve të vitit 2013 nga sinjalizuesi i NSA-së, Edward Snowden – gjykatat në Evropë kanë konstatuar vazhdimisht se paraqesin rrezik për mbrojtjen e të dhënave dhe të drejtat e privatësisë së njerëzve të BE-së. Kjo është një çështje sepse mbrojtjet GDPR supozohet të udhëtojnë me të dhënat e evropianëve.
Gjigantët e teknologjisë amerikane, të cilët janë përgjegjës për drejtimin e pjesës më të madhe të flukseve të dhënave BE-SHBA, në thelb janë kapur në mes të kësaj përplasjeje për vite me rradhë. Modelet e biznesit që mbështeten në nxjerrjen e të dhënave (dhe për rrjedhojë aksesin në të dhënat personale në mënyrë të qartë) janë gjithashtu veçanërisht të ekspozuara ndaj rrezikut ligjor të privatësisë.
“Në Evropë, GDPR mbron të drejtat themelore të njerëzve, duke u kërkuar bizneseve dhe qeverive që të trajtojnë të dhënat personale me kujdesin e duhur. Por mjerisht, kjo nuk është e vetëkuptueshme jashtë Evropës”, shkroi në një deklaratë kryetari holandez i DPA, Aleid Wolfsen. “Mendoni për qeveritë që mund të përdorin të dhëna në një shkallë të gjerë. Kjo është arsyeja pse bizneset zakonisht detyrohen të marrin masa shtesë nëse ruajnë të dhëna personale të evropianëve jashtë Bashkimit Evropian. Uber nuk i përmbushi kërkesat e GDPR për të siguruar nivelin e mbrojtjes së të dhënave në lidhje me transferimet në SHBA. Kjo është shumë serioze.”
Ankesat kundër Uber u bënë gjatë një periudhe kur nuk kishte një kornizë të nivelit të lartë të transferimit të të dhënave të rënë dakord midis BE-së dhe SHBA-së Në korrik 2020 gjykata e lartë e bllokut goditi një mekanizëm të njohur si Mburoja e Privatësisë që kompania dhe mijëra të tjerë, ishin mbështetur për autorizimin e eksporteve të të dhënave të tyre.
Një marrëveshje e re për transferimin e të dhënave BE-SHBA nuk u ra dakord dhe u miratua deri në korrik 2023 – që do të thotë se kishte një periudhë prej tre vitesh me pasiguri të lartë ligjore rreth eksporteve të të dhënave.
Kompanitë dixhitale kanë qenë veçanërisht të ekspozuara gjatë kësaj periudhe, duke pasur parasysh natyrën e bazuar në të dhëna të bizneseve të tyre. Dhe Uber nuk është i vetmi gjigant teknologjik që është goditur: Meta u godit me një dënim rekord GDPR prej 1.2 miliardë euro në maj 2023 për të njëjtën çështje thelbësore. Disa DPA paralajmëruan gjithashtu kundër përdorimit të Google Analytics.
Në rastin e Uber, DPA holandeze tha se të dhënat e mbledhura dhe eksportuara përfshinin informacione “të ndjeshme” të shoferit, duke përfshirë detajet e llogarisë, licencat e taksive, të dhënat e vendndodhjes, fotot, detajet e pagesës, dokumentet e identitetit dhe në disa raste edhe të dhëna kriminale dhe mjekësore të drejtuesve të mjeteve.
“Për një periudhë mbi 2 vjet, Uber i transferoi ato të dhëna në selinë e Uber në SHBA, pa përdorur mjete transferimi. Për shkak të kësaj, mbrojtja e të dhënave personale nuk ishte e mjaftueshme”, shkruhej në të.
Uber nuk është i kënaqur me penalltinë. Ajo mohon çdo mospërputhje dhe është zotuar të paraqesë një ankim kundër përmbarimit në gjykatë.
Zëdhënësi i Uber, Caspar Nixon i dërgoi email TechCrunch një deklaratë në të cilën kompania shkruan: “Ky vendim i gabuar dhe gjobë e jashtëzakonshme janë krejtësisht të pajustifikuara. Procesi i transferimit të të dhënave ndërkufitare të Uber ishte në përputhje me GDPR gjatë një periudhe 3-vjeçare me pasiguri të jashtëzakonshme midis BE-së dhe SHBA-së. Ne do të apelojmë dhe do të mbetemi të sigurt se arsyeja e shëndoshë do të mbizotërojë.”
Kompania pretendon se kërkoi udhëzime nga AP gjatë periudhës kur nuk kishte marrëveshje të nivelit të lartë të transferimit të të dhënave BE-SHBA, por thotë se rregullatori nuk i dha ndonjë qartësi se kishte probleme me proceset e tij.
AP sugjeron se Uber ka qenë në përputhje që nga fundi i vitit të kaluar kur filloi të përdorte pasardhësin e Privacy Shield. Uber pretendon se proceset që tani konsiderohen të pajtueshme sipas këtij kuadri të ri të transferimit të të dhënave janë të njëjtat që përdorte më parë. Pra, në thelb, argumenti i saj është se shtyllat ligjore kanë lëvizur.
Megjithatë, gjatë periudhës kur nuk kishte një marrëveshje transferimi të nivelit të lartë BE-SHBA, rregullatorët e privatësisë së bllokut paralajmëruan kompanitë se ishin përgjegjëse për të siguruar që çdo eksport i të dhënave të përputhej me rregullat.
Udhëzimi i Bordit Evropian për Mbrojtjen e të Dhënave nga kjo periudhë siguroi informacion mbi masat shtesë që mbikëqyrësi i të dhënave tha se kompanitë mund të kenë nevojë të aplikojnë për të rritur nivelin e mbrojtjes në eksportet e të dhënave për të siguruar që flukset e tyre të dhënave ishin në përputhje me GDPR – si kalimi në lokalizimin e të dhënave ose aplikimi i formave të Kriptimi i “qasjes zero” që do të thotë se të dhënat e eksportuara nuk mund të aksesohen.
Zëdhënësi i Uber nuk mundi të konfirmojë menjëherë nëse ka aplikuar ndonjë masë të tillë shtesë gjatë periudhës.