В мире цифровых гигантов, где потоки данных текут как бурные реки, Uber столкнулся с мощным штормом правовой ответственности. Нидерландская служба по защите персональных данных (Autoriteit Persoonsgegevens, или AP) наложила на компанию штраф в размере 290 миллионов евро – почти 324 миллиона долларов – за нарушение Общего регламента Европейского союза по защите данных (GDPR). Эта сумма, как гром среди ясного неба, прозвучала для Uber и стала одним из крупнейших штрафов, наложенных на технологические компании с момента вступления GDPR в силу в 2018 году.
Передача данных через океан: Серьезное нарушение
Причина скандала – передача персональных данных водителей из Европейского союза в США, где базируется штаб-квартира Uber. GDPR строго регламентирует такой трансграничный обмен информацией, устанавливая требования к уровню защиты данных за пределами ЕС. Штраф стал результатом цепочки событий, начавшихся с жалоб более чем 170 водителей из Франции в 2021 году. Жалобы были переданы голландскому регулятору через правозащитную организацию Ligue des droits de l’Homme (LDH), которая выступает за соблюдение прав граждан на конфиденциальность.
- Недостаточная защита: AP, осуществляющий надзор за Uber в ЕС, обнаружил, что компания не обеспечила должного уровня защиты данных при их передаче в США. Это нарушение было квалифицировано как “серьезное” и стало основанием для наложения штрафа.
- Теневой мир американской разведки: За этим нарушением стоит сложная проблема, связанная с программами слежки американских спецслужб, которые неоднократно признавались судами в Европе как угроза конфиденциальности европейцев. Разоблачения Эдварда Сноудена в 2013 году пролили свет на эти программы, вызвав волну беспокойства о защите данных граждан ЕС.
- GDPR vs. реальность: Европейские законы об охране данных строги, но их действие за пределами ЕС не всегда очевидно. Как подчеркнул председатель DPA Алейд Вольфсен, компании обязаны принимать дополнительные меры при хранении данных европейцев за границей, чтобы гарантировать соответствие GDPR.
Uber в эпицентре правовой бури
Штраф наложен в период неопределенности в отношениях между ЕС и США по передаче данных. В 2020 году был отменен механизм Privacy Shield, который ранее позволял компаниям вроде Uber экспортировать данные в США. Новое соглашение заработало только в июле 2023 года, оставив компании в подвешенном состоянии на протяжении трех лет.
Uber оказался не единственным, кто столкнулся с последствиями этой неопределенности. В мае 2023 года Meta получила рекордный штраф в размере 1,2 миллиарда евро за аналогичные нарушения. Google Analytics также подвергся критике и предостережениям регуляторов.
В случае Uber голландское агентство DPA указало на передачу “конфиденциальной” информации водителей, включая данные учетных записей, лицензий, местоположения, фотографий, платежных реквизитов, документов удостоверяющих личность и даже криминальных и медицинских данных. Все это отправлялось в штаб-квартиру Uber в США без достаточных инструментов защиты.
Uber оспаривает решение
Компания категорически не согласна с обвинениями и намеревается обжаловать штраф в суде. Представитель Uber Каспар Никсон утверждает, что процесс передачи данных соответствовал GDPR в течение периода неопределенности и что штраф “абсолютно неоправдан”. Компания настаивает на том, что действовала в соответствии с рекомендациями AP, которые, по ее словам, не указывали на проблемы в их процессах.
Uber утверждает, что использует те же процессы передачи данных, которые теперь считаются соответствующими новой системе, и считает, что правовые рамки изменились. Однако регуляторы ЕС неоднократно предупреждали компании о необходимости дополнительных мер для защиты данных при экспорте в период отсутствия соглашения Privacy Shield.
Эта история – яркий пример того, как быстро меняющийся ландшафт цифровых законов ставит перед технологическими гигантами сложные вызовы. Uber, несмотря на свою уверенность в правоте, столкнулся с серьезными последствиями за то, что не смог обеспечить надлежащую защиту данных своих водителей в условиях неопределенности и правовой лабиринтов трансграничной передачи информации.
