Hollanda Veri Koruma Otoritesi (Autoriteit PersoonsgeVens, AP), Uber Technologies Inc. ve Uber B.V.'ye GDPR ihlalleri üzerinden 290.000.000 € (325 milyon $) para cezası verdi.
Yetkili, Uber'i genel veri koruma düzenlemesinin V Bölümü tarafından tanımlandığı üzere, yeterli önlemler olmadan Amerika Birleşik Devletleri'ndeki sunuculara Avrupa Ekonomik Bölgesi'nden (EEA) kişisel verileri aktarmakla suçluyor.
Bu, Hollanda Veri Koruma Otoritesi Üçüncü kez Uber'e idari para cezası vermiştir.
Birincisi, Kasım 2018'de zayıf veri erişim kontrolleri için 600.000 € para cezasıydı. İkincisi, Ocak 2024'te Uber'in AB konularından verilerin ele alınmasıyla ilgili belirsiz veri yönetimi uygulamaları için 10.000.000 € para cezasıydı.
AP'nin Uber'in veri uygulamaları hakkındaki soruşturması, Fransız sürücülerinden gelen şikayetlerle tetiklendi ve Fransız Veri Koruma Otoritesi (CNIL) tarafından AP'ye yükseldi.
Sorun, Avrupa Birliği Adalet Mahkemesi tarafından Schrems II kararının AB-ABD'yi geçersiz kıldıktan sonra ortaya çıktı. ABD'deki yetersiz veri koruma standartları nedeniyle gizlilik kalkanı.
Karara rağmen, Uber, standart sözleşmeye bağlı hükümleri (SCC'ler) veya diğer önlemleri uygulamadan kişisel verileri ABD'ye aktarmaya devam ettiği iddia ediliyor, böylece GDPR Madde 44'ü ihlal ederek, üçüncü ülkelere veri aktarımlarının içinde olduğu gibi eşdeğer bir koruma seviyesi sağlamalıdır. AB.
Bu, İrlanda Veri Koruma Komisyonu'nun (DPC) Meta'ya (Facebook) 1.3 milyar dolarlık büyük bir para cezası verdiği ihlaldir. Son zamanlarda, dört firma, Google Analytics'in kullanımından kaynaklanan benzer ihlaller için İsveç Gizlilik Koruma Otoritesi (IMY) tarafından 1.1 milyon dolar para cezasına çarptırıldı.
Uber, GDPR'nin V Bölümünün geçerli olmadığını savundu çünkü GDPR'nin 3. maddesi, düzenlemenin korumasını ABD'deki işleme faaliyetlerine zaten genişletti.
Ayrıca, teknoloji firması, GDPR kapsamında tanımlandığı gibi hiçbir veri aktarımı yapılmadığını, çünkü sürücüler verilerini doğrudan Uber'in ABD tabanlı sunucularına uygulama aracılığıyla sağlıyor.
AP bu argümanları reddetti ve büyük olanı empoze etmeye devam etti. AP'nin soruşturması ve nihai karar hakkında daha fazla ayrıntı destekleyici belgede bulunabilir.
Yorum talebimize yanıt veren bir Uber sözcüsü, BleepingComputer'a, kararı haksız bulduklarını ve karara itiraz etmeyi planladıklarını söyledi.
Diyerek şöyle devam etti: "Bu kusurlu karar ve olağanüstü para cezası tamamen haksız. Uber'in sınır ötesi veri aktarım süreci, AB ve ABD arasındaki 3 yıllık muazzam bir belirsizlik döneminde GDPR ile uyumlu idi. Sağduyunun hakim olacağına itiraz edeceğiz ve kendilerine güveneceğiz." - Uber sözcüsü
Uber, veri işleme uygulamalarının, gizlilik bildiriminde düzenlendiği için GDPR'ye uyduğunu savunuyor. Buna ek olarak, kullanıcılar ve kullanıcılar arasındaki veri akışlarını, hizmetlerinin temel ve doğal bir bileşeni olarak görür.
Temyiz süreci 4 yıla kadar sürebilir, bu da para cezası askıya alınacaktır.
X AI eğitimi için yetkisiz veri kullanımı için GDPR şikayetleri
Fikir Rusya'dan çıkıyor ve Eylül ayında hesapları sonlandıracak
Adam kendi ölümünü taklit etmek için devlet sicilini hacklemek için mahkum edildi
ABD, Karakurt gasp çetesinin “soğuk davası” müzakerecisini suçladı
İtalya'da tutuklanan 14 milyon dolarlık holograf kriptine bağlı bilgisayar korsanları
Kaynak: Bleeping Computer