2024 年 1 月 31 日,据外媒报道,荷兰数据保护局(AP)对 Uber Technologies, Inc.和 Uber B.V.(以下简称 Uber)处以 1000 万欧元的罚款。此次罚款是因为 Uber 未能披露其保留欧洲司机数据的具体期限,并未透露其与非欧洲国家分享这些数据。AP 还发现 Uber 阻碍了司机行使隐私权。
背景
超过 170 名法国司机向法国人权组织 LDH 提出了担忧,该组织随后向法国数据保护局提出了投诉。由于 Uber 的欧洲总部位于荷兰,此案后来被转交给了荷兰数据保护局。
AP 的决定
荷兰数据保护局发现,Uber 使司机提交查看或获取其个人数据副本的请求变得不必要的复杂。尽管司机的应用中包含了一个用于请求访问其数据的表单,但它位于应用程序的深处,分布在各种菜单中,而不是更合理地放置在更合逻辑的位置。此外,在隐私条款中,Uber 没有明确说明保留司机个人数据的期限,也没有说明在将这些信息发送到欧洲经济区以外的国家时采取了哪些具体的安全措施。
数据保护局根据侵权的严重性和 Uber 的组织规模,确定了 1000 万欧元的罚款。在侵权行为期间,大约有 12 万名司机在欧洲为 Uber 工作。
Kaamel 的应对
这一案件引发了两个值得关注的方面。首先是案件的交移。尽管事件的起因是法国司机的投诉,但最终案件由荷兰数据保护局进行处理。这凸显了在设立海外站点时,企业需要谨慎选择实体设立的国家,并将各地监管机构纳入考虑因素。第二个关键点是关于数据主体权利(Data Subject Rights,以下简称“DSR”)实践的问题。仅仅有 DSR 入口的存在并不足以证明企业合规,而企业如何为用户提供便捷、有效的 DSR 行权方式也同样至关重要。在实践中,这可能会产生关键性的效果。
Kaamel 后续会就此案件展开更深入的分析,敬请期待。
来源:https://autoriteitpersoonsgegevens.nl/en/current/uber-fined-eu10-million-for-infringement-of-privacy-regulations