Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Ubeeqo International SAS med 175 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL, som en del av myndighetens prioriterade områden för 2020 om nya användningsområden för lokaliseringsuppgifter, granskat Ubeeqo vars verksamhet består i att hyra ut fordon under en kortare period. Granskningen var särskilt inriktad på de uppgifter som samlades in, de fastställda lagringsperioderna, den information som lämnades till registrerade och de säkerhetsåtgärder som vidtagits.
Vid granskningen konstaterade CNIL att Ubeeqo, när en privatperson hyrde ett fordon, samlade in uppgifter om det hyrda fordonets geografiska läge var 500:e meter när fordonet var i rörelse, när motorn slogs på och av eller när dörrarna öppnades och stängdes. Dessutom behöll Ubeeqo en historik över en del av de insamlade lokaliseringsuppgifterna under en alltför lång tidsperiod.
Ubeeqo hävdade att uppgifter om fordonens geografiska läge samlades in för att förvalta fordonsflottan (kontrollera att fordonet återlämnas till rätt plats, övervaka fordonsparkens skick, etc.), hitta fordon vid stöld, och hjälpa kunderna i händelse av en olycka.
Efter att ha analyserat användningen av lokaliseringsuppgifter för vart och ett av de ändamål som Ubeeqo angett, ansåg CNIL att inget av dessa syften motiverar en så detaljerad insamling av lokaliseringsuppgifter som företaget gör. En sådan praxis är enligt CNIL ett stort intrång i användarnas privatliv, eftersom den kan avslöja deras rörelser, deras vistelseorter eller till och med alla stopp under en resa.
Enligt CNIL skulle Ubeeqo istället kunna erbjuda en identisk tjänst utan att nästan permanent lokalisera sina kunder. Ubeeqo har därför underlåtit att följa principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR som innebär att uppgifterna måste vara adekvata, relevanta och inte överdrivna i förhållande till det syfte för vilket de samlas in och används.
Ubeeqo har vidare underlåtit att fastställa och respektera en proportionerlig lagringsperiod av uppgifterna då lokaliseringsuppgifter sparats under hela den kommersiella relationen med en kund och därefter i tre år efter det att hyrbilen avslutats, vilket strider mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Enligt CNIL är en sådan lagringstid överdriven eftersom den inte motsvarar det strikta behovet hos Ubeeqo enligt ändamålen ovan. Dessutom fanns det enligt CNIL fortfarande personuppgifter om användare som varit inaktiva i mer än åtta år i Ubeeqos databaser.
CNIL konstaterade dessutom att Ubeeqo underlåtit att uppfylla informationsskyldigheten enligt artikel 12 GDPR då företaget inte gjort relevant information tillräckligt tillgänglig för användarna under registreringsprocessen i Ubeeqo-applikationen.
Mot denna bakgrund ålade CNIL:s organ som ansvarar för att införa sanktionsavgifter, och i samarbete med andra berörda europeiska tillsynsmyndigheter i Belgien, Danmark, Spanien, Italien och Tyskland, Ubeeqo böter på 175 000 euro, vilket också offentliggjordes på myndighetens webbplats.