Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 10 miljoner euro mot Uber Technologies Inc. och Uber B.V. för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att AP tagit emot 172 klagomål från Uber-chaufförer i Frankrike som lämnat in begäran om tillgång till sina personuppgifter hos Uber, men inte fått tillfredsställande svar eller information.
Efter en granskning av Ubers behandling av personuppgifter konstaterade AP att Uber begått följande överträdelser:
- Det digitala formuläret som chaufförerna kunde använda för att begära tillgång till sina personuppgifter var inte tillräckligt lättillgängligt i chaufförs-appen.
- Uber lämnade inte en kopia av personuppgifterna i en lättillgänglig form och förklarade inte hur de kunde tolkas. Dessutom var förklaringarna endast på engelska, vilket inte var ett begripligt språk för de franska chaufförerna.
- Uber gav inte tillräckligt specifik information om hur länge personuppgifterna skulle lagras eller vilka kriterier som användes för att bestämma lagringstiden.
- Uber nämnde inte konkret vilka länder utanför EU som personuppgifterna överfördes till och vilka skyddsåtgärder som vidtogs för att garantera en adekvat skyddsnivå.
- Uber nämnde inte uttryckligen rätten till dataportabilitet i sin integritetspolicy.
AP beslutade att utfärda en sanktionsavgift mot de båda företagen gemensamt med totalt 10 miljoner euro. Vid fastställandet av sanktionsavgiften beaktade AP företagens storlek samt överträdelsernas allvar och omfattning. Vid tidpunkten för Ubers överträdelser arbetade cirka 120 000 förare för Uber i Europa.
Beslutet fattades i enlighet med GDPR:s regler om gränsöverskridande behandling och samarbete mellan dataskyddsmyndigheterna i EU.