U heeft het vast al gelezen, de AP legt haar hoogste boete ooit op aan Uber van 290 miljoen euro. De AP deed dit omdat Uber persoonsgegevens van Europese taxichauffeurs doorgaf aan de Verenigde Staten zonder dat hiervoor aan de vereisten van de AVG werd voldaan. Hoe komt de AP tot dit boetebedrag?
AP legt Uber boete op van 290 miljoen euro, hoe wordt de hoogte bepaald?
De boete in het kort
Het onderzoek is gestart naar aanleiding van klachten van Uber-chauffeurs in Frankrijk. Omdat het hoofdkantoor van Uber in Nederland staat, heeft de AP het onderzoek uitgevoerd. Zij constateert dat Uber Artikel 44 AVG heeft overtreden en de voorwaarden voor doorgifte van persoonsgegevens aan een derde land uit Hoofdstuk V van de AVG niet naleefde. Voor de gegevensuitwisseling tussen Uber BV (Nederland) en Uber Technologies Incorporated (VS) was geen adequaatheidsbesluit (na Schrems) of ander mechanisme zoals de EU modelovereenkomsten voor doorgiften (SCC’s) om een passend beschermingsniveau te garanderen. Het gaat om twee verwerkingen:
- De verwerking van persoonsgegevens van EU chauffeurs die via de chauffeurs-app worden verzameld en opgeslagen in de Verenigde Staten. Naast account- en locatiegegevens worden ook andere gegevens opgeslagen, zoals identiteitsbewijzen, strafrechtelijke- en gezondheidsgegevens en een taxilicentie.
- De verwerking van AVG verzoeken van chauffeurs. Als een chauffeur zijn AVG rechten uitoefent vraagt Uber B.V. de betreffende gegevens op bij Uber Technologies Incorporated. Dit betekent dus dat de Amerikaanse Uber de gegevens verwerkt van Europese chauffeurs.
Saillant detail: Uber verwijderde SCC’s uit overeenkomst
Opmerkelijk is dat Uber ooit wel SCC’s had in zijn Data Sharing Agreement maar deze op 6 augustus 2021 verwijderde. Dit naar eigen zeggen omdat de Europese Commissie in zijn FAQ had aangegeven dat de geüpdatete SCC’s niet konden worden gebruikt voor gegevensimporteurs die al onder de AVG vallen. Sinds die datum beroept Uber zich op de uitzonderingen voor doorgifte uit Artikel 49 AVG en stelt dat doorgifte echt noodzakelijk is voor de werkzaamheden. De AP gaat hier niet in mee en stelt dat sinds de datum de gegevens onvoldoende beschermd waren.
Berekening boetebedrag
Hoe komt de AP dan bij 290 miljoen euro? De hoogste boete die ze ooit heeft uitgedeeld. De AP geeft allereerst aan dat ze bij de berekening van de boete uitgaat van de Guidelines 04/2022 on the calculation of administrative fines under the GDPR en niet meer van de eigen boetebeleidsregels die zijn ingetrokken per mei 2023. Op grond van die richtlijnen worden de volgende constateringen gedaan en wordt de boete als volgt berekend:
- De inbreuk vaststellen
Er is sprake van één sanctioneerbare gedraging – de overtreding van Art 44 AVG – voor twee verwerkingsactiviteiten.
- Het uitgangsbedrag voor de verdere berekening bepalen
Voor een overtreding van Artikel 44 AVG mag je op grond van Artikel 83 AVG een maximum boete opleggen van €20 miljoen of 4% van de jaaromzet. De AP vindt het een zware inbreuk op de privacy omdat het gaat om een onrechtmatige doorgifte van persoonsgegevens aan de VS, waar inlichtingendiensten zich op grond van wetgeving toegang kunnen verstrekken tot die gegevens. Met name de doorgifte van strafrechtelijke gegevens, rekent de AP Uber aan. Bovendien konden chauffeurs zich hier niet aan onttrekken door de hiërarchische verhouding tussen Uber en de chauffeurs. Het aantal betrokkenen wordt niet bekend gemaakt in de publicatie maar telt mee. De inbreuk duurde van 6 augustus 2021 tot 27 november 2023, toen een nieuw adequaatheidsbesluit werd aangenomen.De AP rekent Uber B.V. als dezelfde onderneming als Uber Technologies. 4% van van de jaaromzet van €34,235 miljard, impliceert een boetemaximum van €1,369 miljard. Volgens de Richtsnoeren moet het uitgangsbedrag bepaald worden ergens tussen 20% en 100% van dit maximum. De AP gaat met €290 miljoen aan de onderkant zitten vanwege het aantal betrokkenen en het feit dat de overtreding al is beëindigd.
- Bepalen van andere relevante omstandigheden die leiden tot een verhoging of verlaging van het boetebedrag: deze zijn er niet.
- Controle van de overschrijding van de maximum boetebedragen die gelden: deze worden niet overschreden.
- Beoordeling vereisten van doeltreffendheid, evenredigheid en afschrikking: de AP stelt dat hieraan wordt voldaan.
Uber gaat in beroep
Uber laat in een persverklaring weten in beroep te gaan. Volgens hen was er onduidelijkheid over de privacyregels, maar heeft het bedrijf zich er toch aan gehouden. Uber zou volgens een woordvoerder contact hebben gezocht met de AP over de ontstane onduidelijkheid. Toen heeft de AP niet aangegeven dat Uber zich niet aan de regels hield.
Heeft u vragen naar aanleiding van dit artikel? Of bent u benieuwd of al uw bedrijfsprocessen voldoen aan de regels vanuit de AVG? Neem dan contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.