Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/28

Kraj:

Holandia

Data wydania decyzji:

22.07.2024 r.

Podmiot kontrolowany:

Uber Technologies Inc., Uber B.V.

Wysokość kary (EUR):

290.000.000

Podstawa prawna naruszenia

Art. 44 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło przekazywania danych osobowych przez Uber Technologies Inc. i Uber B.V. do Stanów Zjednoczonych bez odpowiednich zabezpieczeń, co stanowiło naruszenie artykułu 44 RODO. Uber nie zapewnił odpowiednich gwarancji, jakie są wymagane przez przepisy rozdziału V RODO.

 

Opis wydarzeń

  1. Tło i kontekst:
    • Uber działa jako pośrednik między kierowcami a pasażerami, umożliwiając rezerwację przejazdów za pomocą aplikacji mobilnych.
    • Kierowcy muszą założyć konto w aplikacji Uber Driver, aby oferować swoje usługi.
  2. Skargi i dochodzenie:
    • 12 czerwca 2020 roku francuska organizacja Ligue Des Droits De L’homme Et Du Citoyen (LDH) złożyła skargę w imieniu 21 kierowców Ubera, która później została rozszerzona do 172 kierowców.
    • Skarga dotyczyła niejasnej pozycji prawnej Ubera po wyroku Schrems II Trybunału Sprawiedliwości Unii Europejskiej, który stwierdził, że Stany Zjednoczone nie zapewniają odpowiedniego poziomu ochrony danych osobowych.
    • 16 kwietnia 2021 roku holenderski organ nadzorczy (AP) rozpoczął dochodzenie w sprawie zgodności działań Ubera z przepisami rozdziału V RODO.
  3. Ustalenia AP:
    • AP stwierdził, że Uber przekazywał dane osobowe kierowców do Stanów Zjednoczonych bez odpowiednich zabezpieczeń, co stanowiło naruszenie artykułu 44 RODO.
    • Uber usunął standardowe klauzule umowne (SCC) z umowy o współadministrowaniu danymi 6 sierpnia 2021 roku, co pogłębiło naruszenie.
  4. Okres naruszenia: Od 6 sierpnia 2021 roku do 27 listopada 2023 roku.
  5. Zakres danych: Dane osobowe kierowców Ubera, w tym dane identyfikacyjne, lokalizacyjne, zdjęcia, dowody tożsamości, dane karne i zdrowotne.
  6. Reakcja Ubera:
    • Uber argumentował, że rozdział V RODO nie ma zastosowania, ponieważ artykuł 3 RODO już zapewnia ochronę danych.
    • Uber twierdził również, że przekazywanie danych było zgodne z wyjątkami przewidzianymi w artykule 49 RODO, co zostało odrzucone przez AP.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie odpowiednich zabezpieczeń:
    • Wdrożenie standardowych klauzul umownych (SCC) lub innych odpowiednich mechanizmów przekazywania danych zgodnie z rozdziałem V RODO.
    • Regularne przeglądy i aktualizacje polityk ochrony danych, aby zapewnić zgodność z obowiązującymi przepisami.
  2. Szkolenia i świadomość:
    • Przeprowadzenie szkoleń dla pracowników na temat wymagań RODO i najlepszych praktyk w zakresie ochrony danych.
    • Zwiększenie świadomości wśród kierowców na temat ich praw i sposobów ochrony ich danych osobowych.
  3. Monitorowanie i audyty:
    • Regularne audyty wewnętrzne i zewnętrzne w celu monitorowania zgodności z przepisami ochrony danych.
    • Wdrożenie systemów monitorowania, które umożliwią szybkie wykrywanie i reagowanie na potencjalne naruszenia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO