Italien: Uber och Uber Technologies bötfälls med 4,2 miljoner euro efter dataintrång

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt Uber B.V. och Uber Technologies Inc. med 2 120 000 euro vardera för överträdelse av artiklarna 13, 23, 37 och 38 i lagdekret nr 196 från den 30 juni 2003, lagen om skydd av personuppgifter (nedan kallad lagen).

Av beslutet framgår att Garante på eget initiativ undersökt ett dataintrång som inträffade 2016. Dataintrånget, som tillkännagetts av Uber Technologies och som inträffade innan den allmänna dataskyddsförordningen (GDPR) trätt ikraft, omfattade uppgifter om cirka 57 miljoner användare världen över, inklusive italienska användare. Uppgifterna gällde bland att kontaktuppgifter, inklusive namn, efternamn, telefonnummer och e-postadresser, inloggningsuppgifter, lokaliseringsuppgifter och information om relationer med andra användare som exempelvis delning av resor.

Med anledning av detta beslutade Garante den 13 december 2018 att Uber och Uber Technologies, som agerat som gemensamt personuppgiftsansvariga, brutit mot artikel 13 i lagen, med hänsyn till att det informationsmeddelande som tillhandahölls användarna var formulerat på ett generiskt och ungefärligt sätt och innehöll oklar och ofullständig information, artikel 23 i lagen, eftersom de inte inhämtat ett giltigt samtycke innan de behandlade uppgifter om cirka 1 379 000 passagerare genom att profilera dem på grundval av en så kallad “bedrägeririsk”, och artiklarna 37 och 38 i lagen, eftersom Garante inte underrättats om behandlingen av uppgifter för geolokalisering. Utöver detta förbehöll sig Garante rätten att genom ett oberoende förfarande bedöma de administrativa påföljder som motsvarar de överträdelser som identifierats ovan.

Följaktligen ansåg Garante det nödvändigt att ålägga Uber och Uber Technologies administrativa påföljder med ett belopp på sammanlagt 530 000 euro för överträdelse av artiklarna 13, 23, 37 och 38 i lagen. Garante framhöll dock att med hänsyn till Ubers och Uber Technologies ekonomiska ställning och med hänsyn till den totala omsättningen och antalet användare att de ovannämnda böterna var ineffektiva. Garante höjde därför det totala beloppet och ålade båda företagen böter på 2 120 000 euro vardera.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 13 GDPR, art. 23 GDPR, art. 37 GDPR, art. 38 GDPR

Sanktionsavgift: 4 200 00o euro

Mottagare: Uber B.V. och Uber Technologies Inc.

Beslutsnummer: 9771142

Beslutsdatum: 2022-03-24

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.