Italien: Uber och Uber Technologies bötfälls med 4,2 miljoner euro efter dataintrång

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt Uber B.V. och Uber Technologies Inc. med 2 120 000 euro vardera för överträdelse av artiklarna 13, 23, 37 och 38 i lagdekret nr 196 från den 30 juni 2003, lagen om skydd av personuppgifter (nedan kallad lagen).

Av beslutet framgår att Garante på eget initiativ undersökt ett dataintrång som inträffade 2016. Dataintrånget, som tillkännagetts av Uber Technologies och som inträffade innan den allmänna dataskyddsförordningen (GDPR) trätt ikraft, omfattade uppgifter om cirka 57 miljoner användare världen över, inklusive italienska användare. Uppgifterna gällde bland att kontaktuppgifter, inklusive namn, efternamn, telefonnummer och e-postadresser, inloggningsuppgifter, lokaliseringsuppgifter och information om relationer med andra användare som exempelvis delning av resor.

Med anledning av detta beslutade Garante den 13 december 2018 att Uber och Uber Technologies, som agerat som gemensamt personuppgiftsansvariga, brutit mot artikel 13 i lagen, med hänsyn till att det informationsmeddelande som tillhandahölls användarna var formulerat på ett generiskt och ungefärligt sätt och innehöll oklar och ofullständig information, artikel 23 i lagen, eftersom de inte inhämtat ett giltigt samtycke innan de behandlade uppgifter om cirka 1 379 000 passagerare genom att profilera dem på grundval av en så kallad “bedrägeririsk”, och artiklarna 37 och 38 i lagen, eftersom Garante inte underrättats om behandlingen av uppgifter för geolokalisering. Utöver detta förbehöll sig Garante rätten att genom ett oberoende förfarande bedöma de administrativa påföljder som motsvarar de överträdelser som identifierats ovan.

Följaktligen ansåg Garante det nödvändigt att ålägga Uber och Uber Technologies administrativa påföljder med ett belopp på sammanlagt 530 000 euro för överträdelse av artiklarna 13, 23, 37 och 38 i lagen. Garante framhöll dock att med hänsyn till Ubers och Uber Technologies ekonomiska ställning och med hänsyn till den totala omsättningen och antalet användare att de ovannämnda böterna var ineffektiva. Garante höjde därför det totala beloppet och ålade båda företagen böter på 2 120 000 euro vardera.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 13 GDPR, art. 23 GDPR, art. 37 GDPR, art. 38 GDPR

Sanktionsavgift: 4 200 00o euro

Mottagare: Uber B.V. och Uber Technologies Inc.

Beslutsnummer: 9771142

Beslutsdatum: 2022-03-24

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.