Italien: Uber och Uber Technologies bötfälls med 4,2 miljoner euro efter dataintrång

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt Uber B.V. och Uber Technologies Inc. med 2 120 000 euro vardera för överträdelse av artiklarna 13, 23, 37 och 38 i lagdekret nr 196 från den 30 juni 2003, lagen om skydd av personuppgifter (nedan kallad lagen).

Av beslutet framgår att Garante på eget initiativ undersökt ett dataintrång som inträffade 2016. Dataintrånget, som tillkännagetts av Uber Technologies och som inträffade innan den allmänna dataskyddsförordningen (GDPR) trätt ikraft, omfattade uppgifter om cirka 57 miljoner användare världen över, inklusive italienska användare. Uppgifterna gällde bland att kontaktuppgifter, inklusive namn, efternamn, telefonnummer och e-postadresser, inloggningsuppgifter, lokaliseringsuppgifter och information om relationer med andra användare som exempelvis delning av resor.

Med anledning av detta beslutade Garante den 13 december 2018 att Uber och Uber Technologies, som agerat som gemensamt personuppgiftsansvariga, brutit mot artikel 13 i lagen, med hänsyn till att det informationsmeddelande som tillhandahölls användarna var formulerat på ett generiskt och ungefärligt sätt och innehöll oklar och ofullständig information, artikel 23 i lagen, eftersom de inte inhämtat ett giltigt samtycke innan de behandlade uppgifter om cirka 1 379 000 passagerare genom att profilera dem på grundval av en så kallad “bedrägeririsk”, och artiklarna 37 och 38 i lagen, eftersom Garante inte underrättats om behandlingen av uppgifter för geolokalisering. Utöver detta förbehöll sig Garante rätten att genom ett oberoende förfarande bedöma de administrativa påföljder som motsvarar de överträdelser som identifierats ovan.

Följaktligen ansåg Garante det nödvändigt att ålägga Uber och Uber Technologies administrativa påföljder med ett belopp på sammanlagt 530 000 euro för överträdelse av artiklarna 13, 23, 37 och 38 i lagen. Garante framhöll dock att med hänsyn till Ubers och Uber Technologies ekonomiska ställning och med hänsyn till den totala omsättningen och antalet användare att de ovannämnda böterna var ineffektiva. Garante höjde därför det totala beloppet och ålade båda företagen böter på 2 120 000 euro vardera.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 13 GDPR, art. 23 GDPR, art. 37 GDPR, art. 38 GDPR

Sanktionsavgift: 4 200 00o euro

Mottagare: Uber B.V. och Uber Technologies Inc.

Beslutsnummer: 9771142

Beslutsdatum: 2022-03-24

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.