Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 290 miljoner euro mot Uber Technologies Inc. och Uber B.V. för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att AP inledde utredningen av Uber efter att mer än 170 franska förare klagat till den franska intresseorganisationen för mänskliga rättigheter Ligue des droits de l’Homme (LDH), som därefter lämnade in ett klagomål till den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL).
Enligt GDPR måste företag som behandlar uppgifter i flera EU-medlemsstater vända sig till en enda dataskyddsmyndighet, myndigheten i det land där företaget har sin huvudsakliga etablering. Ubers europeiska huvudkontor är baserat i Nederländerna. Under utredningen hade AP ett nära samarbete med CNIL och samordnade beslutet med andra europeiska dataskyddsmyndigheter.
Under utredningen konstaterade AP att Uber bland annat samlade in känsliga uppgifter om förare från Europa och sparade dem på servrar i USA. Det rörde sig om kontouppgifter och taxilicenser, men även platsuppgifter, foton, betalningsuppgifter, identitetshandlingar och i vissa fall även brotts- och hälsouppgifter om förarna.
AP konstaterade vidare att Uber, under en period på över 2 år, överförde personuppgifter till Ubers huvudkontor i USA, utan att använda ett giltigt överföringsverktyg enligt GDPR då EU-domstolen ogiltigförklarade Privacy Shield mellan EU och USA år 2020. Enligt domstolen utgjorde standardavtalsklausuler (SCC) fortfarande en giltig grund för att överföra uppgifter till länder utanför EU, men endast om en likvärdig skyddsnivå kan garanteras i praktiken.
Eftersom Uber inte använde SCC från och med augusti 2021 var uppgifterna om förare från EU var skyddet av personuppgifterna inte tillräckligt. Enligt AP utgjorde detta en allvarlig överträdelse av GDPR, varför myndigheten utfärdade en sanktionsavgift på 290 miljoner euro mot Uber. Vid fastställandet av sanktionsavgiften beaktade AP företagens storlek samt överträdelsernas allvar och omfattning. Under 2023 var Ubers globala omsättning cirka 34,5 miljarder euro.