De Autoriteit Persoonsgegevens (AP) legt het in de VS gevestigde taxibedrijf Uber een boete van 10 miljoen euro op voor het niet volledig openbaar maken van gegevensbewaargegevens van Europese chauffeurs en het niet onthullen van niet-Europese landen waarmee de gegevens worden gedeeld.
De DPA merkte ook op dat Uber het recht op privacy van chauffeurs belemmert.
AP-voorzitter Aleid Wolfsen zegt: “Chauffeurs hebben het recht om te weten hoe Uber verwerkt hun persoonsgegevens. Uber heeft dit echter niet voldoende duidelijk uitgelegd. Zij had haar chauffeurs hierover beter en zorgvuldiger moeten informeren.”
“Transparantie is een fundamenteel onderdeel van de bescherming van persoonsgegevens. Als u niet weet hoe er met uw persoonsgegevens wordt omgegaan, kunt u ook niet vaststellen of u wordt benadeeld of oneerlijk wordt behandeld. En je kunt niet opkomen voor je rechten”, voegt Wolfsen toe.
Uber's kritiek van DPA
De AP ontdekte dat Uber het moeilijk maakte voor chauffeurs om toegang te krijgen tot hun persoonlijke gegevens. Het toegangsaanvraagformulier zat verstopt in de app, verspreid over menu’s, en had logischer geplaatst kunnen worden.
De afhandeling van verzoeken door Uber resulteerde in een onduidelijke organisatie van persoonlijke gegevens, wat de interpretatie bemoeilijkte.
Bovendien hebben zij in hun privacyvoorwaarden niet gespecificeerd hoe lang Uber de persoonsgegevens van haar chauffeurs bewaart of welke specifieke beveiligingsmaatregelen zij neemt bij het verzenden van deze informatie naar entiteiten in landen buiten de EER. Aleid Wolfsen:
Bovendien heeft Uber in zijn privacyvoorwaarden niet gespecificeerd hoe lang het de persoonlijke gegevens van chauffeurs bewaart en welke veiligheidsmaatregelen worden toegepast bij het doorgeven van deze informatie aan entiteiten buiten de Europese Economische Ruimte (EER).
Wolfsen: “Hieruit blijkt dat Uber allerlei obstakels heeft opgeworpen die chauffeurs ervan weerhielden hun recht op privacy uit te oefenen, en dat is verboden. Eigenlijk zou Uber chauffeurs moeten faciliteren in hun rechten. Dat is wettelijk vastgelegd.”
Klachten uit Frankrijk
De DPA legde de boete op naar aanleiding van klachten van ruim 170 Franse chauffeurs die de Franse mensenrechtenorganisatie Ligue des droits de l'Homme et du citoyen (LDH) hadden benaderd.
LDH diende vervolgens een klacht in bij de Franse gegevensbeschermingsautoriteit, die, omdat Uber zijn Europese hoofdkantoor in Nederland had, de zaak doorverwees naar de Nederlandse Gegevensbeschermingsautoriteit (DPA).
De AP heeft de boete berekend op basis van de omvang van de organisatie en de ernst van de overtredingen. Op het moment van de overtredingen werkten in Europa ongeveer 120,000 chauffeurs voor Uber.
Ondanks dat Uber een bezwaarschrift had ingediend tegen het besluit van de DPA, erkende de autoriteit dat Uber sindsdien verbeteringsmaatregelen heeft geïmplementeerd om de inbreuken aan te pakken.
Kort over de Autoriteit Persoonsgegevens
Volgens het CBP heeft ieder individu recht op de bescherming van zijn persoonsgegevens, een fundamenteel recht dat de Autoriteit Persoonsgegevens handhaaft.
Als onafhankelijke toezichthouder in Nederland zorgt de AP ervoor dat alle entiteiten zich aan de privacywetgeving houden, waardoor de privacyrechten van individuen worden gewaarborgd.