The Dutch Data Protection Authority (DPA) has fined Uber a record €290M
2024/08/27 SecurityAffairs — オランダの Data Protection Authority (DPA) は、欧州のタクシー運転手の個人データを米国に転送する際に、EU のデータ保護規則 GPDR を遵守しなかったとして、Uberに €290 million ($324 million) の罰金を科した。同機関が発表したプレス・リリースには、「オランダの DPA は Uber に対して、€290 million を科す。我々が発見したのは、Uber が欧州のタクシー運転手の個人データを米国に転送し、これらの転送に関してデータを適切に保護しなかったことである。それは、一般データ保護規則 (GDPR) の重大な違反に該当する。すれに Uber は、違反の状況を収束させている」と記されている。
オランダの DPA の議長である Aleid Wolfsen が強調するのは、企業と政府が個人データを責任を持って扱うことを保証し、人々の基本的権利を保護するように、GDPR が設計されている点である。したがって企業は、欧州人の個人データを EU 外に保管する際に、特別な注意を払う必要がある。Aleid Wolfsen は、米国に転送されたデータを Uber が保護する際に、GDPR の要件が満たされていないと批判している。彼は、「この違反は極めて深刻だ」と述べている。
ことの発端は、170人以上のフランス人ドライバーによる、Ligue des droits de l’Homme (LDH) への苦情の申し立てだ。DPA は Uber に対する調査を開始し、その後に LDH からフランスのデータ保護機関へと、この問題は報告された。オランダのデータ保護機関は、フランスのデータ保護機関と緊密に協力して調査を行い、他のヨーロッパのデータ保護機関との間で対応を調整した。
オランダのデータ保護機関 (DPA) は、ヨーロッパのドライバーから Uber が機密情報を収集し、適切なデータ転送ツールを使用せずに、2年以上にわたって米国のサーバに保存していたと判断した。収集されたデータには、アカウントの詳細/位置データ/支払い情報/犯罪歴/医療記録も含まれていたという。
EU-USA プライバシー・シールドが無効になった 2020年の以降において、同等のデータ保護を確保する際には、標準契約条項の使用が必要となった。しかし、Uber は 2021年8月の時点で、これらの条項の使用を中止し、昨年末にプライバシー・シールドの後継を採用するまで、データの保護を不十分な状態にしていた。
DPA のプレス・リリースは、「すべての EU-DPA は、企業に対する罰金の額を、共通の方式により算出する。これらの罰金は、その企業のグローバル年間売上高に対して、最大で 4% に相当するものとなる。2023年の Uber におけるグローバル売上高は、約 €34.5 billion である。ただし、Uber は罰金に異議を唱える意向を示している。
今回の罰金は、オランダの DPA が Uber に科すものとして3回目となる。オランダの DPA は Uber に対して、2018年に €600,000 の、2023年には €10 million の罰金を科した。Uber は、この最後の罰金に異議を唱えている」と締め括っている。
その一方で Uber は、あらゆる非難に対して異を唱え、データ転送プロセスは欧州の法律に準拠していると主張している。同社の広報担当である Caspar Nixon は、この決定に対して控訴する予定だと、Bloomberg に語っている。彼は、「罰金は全く不当だ」と述べている。
たしか、EU-USA プライバシー・シールドが有効な時代には、Facebook などが罰金を科されていましたね。その後の、標準契約条項の使用が必要となった時代に、連続して Uber が違反しているようです。よろしければ、GDPR で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.