หน่วยงานคุ้มครองข้อมูลส่วนบุคคลเนเธอร์แลนด์ปรับ Uber 290 ล้านยูโร ฐานโอนข้อมูลคนขับไปสหรัฐฯ

DPA เนเธอร์แลนด์ปรับ Uber 290 ล้านยูโร

• หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์ (DPA) สั่งปรับ Uber เป็นเงิน 290 ล้านยูโร กรณีโอนข้อมูลส่วนบุคคลของคนขับแท็กซี่ในยุโรปไปยังสหรัฐฯ
• DPA เนเธอร์แลนด์เห็นว่า Uber ละเมิด GDPR (กฎระเบียบคุ้มครองข้อมูลทั่วไป)
• ขณะนี้ Uber ได้ยุติการละเมิดดังกล่าวแล้ว

ข้อมูลอ่อนไหว

• Uber จัดเก็บข้อมูลบัญชีของคนขับในยุโรป ใบอนุญาตแท็กซี่ ข้อมูลตำแหน่ง รูปถ่าย ข้อมูลการชำระเงิน เอกสารยืนยันตัวตน รวมถึงข้อมูลอาชญากรรมและข้อมูลทางการแพทย์ ไว้บนเซิร์ฟเวอร์ในสหรัฐฯ
• ตลอดเวลากว่า 2 ปีที่มีการโอนข้อมูลดังกล่าว บริษัทไม่ได้ใช้เครื่องมือสำหรับการโอนข้อมูล
• หลังจาก EU-US Privacy Shield ถูกเพิกถอนในปี 2020 การไม่ใช้ Standard Contractual Clauses ทำให้การคุ้มครองข้อมูลไม่เพียงพอ
• หลังเดือนสิงหาคม 2021 Uber ไม่ได้ใช้ Standard Contractual Clauses และ DPA เนเธอร์แลนด์เห็นว่านั่นทำให้การคุ้มครองข้อมูลไม่เพียงพอ
• ปัจจุบัน Uber ใช้มาตรการต่อเนื่องที่มาแทน Privacy Shield

ข้อร้องเรียนของคนขับ

• DPA เนเธอร์แลนด์เริ่มการสอบสวนหลังจากคนขับชาวฝรั่งเศสมากกว่า 170 คนยื่นเรื่องร้องเรียนผ่านองค์กรสิทธิมนุษยชนฝรั่งเศส LDH
• ตาม GDPR บริษัทที่ประมวลผลข้อมูลในหลายประเทศสมาชิกสหภาพยุโรปต้องประสานงานกับ DPA ของประเทศที่สำนักงานใหญ่ตั้งอยู่
• สำนักงานใหญ่ของ Uber ในยุโรปตั้งอยู่ในเนเธอร์แลนด์
• ระหว่างการสอบสวน DPA เนเธอร์แลนด์ได้ทำงานอย่างใกล้ชิดกับ DPA ฝรั่งเศส และประสานการตัดสินใจกับ DPA อื่น ๆ ในยุโรป

ค่าปรับต่อ Uber

• DPA ทุกแห่งในยุโรปใช้แนวทางเดียวกันในการคำนวณค่าปรับบริษัท
• ค่าปรับอาจสูงสุดถึง 4% ของรายได้ทั่วโลกต่อปีของบริษัท
• Uber มีรายได้ทั่วโลกประมาณ 34.5 พันล้านยูโรในปี 2023
• Uber ระบุว่าจะคัดค้านค่าปรับดังกล่าว
• DPA เนเธอร์แลนด์เคยสั่งปรับ Uber มาแล้ว 600,000 ยูโรในปี 2018 และ 10 ล้านยูโรในปี 2023

สรุปของ GN⁺

• บทความนี้กล่าวถึงกรณีที่ Uber ถูกปรับจากการละเมิด GDPR
• เน้นย้ำว่าการโอนข้อมูลออกนอกยุโรปจำเป็นต้องมีมาตรการคุ้มครองเพิ่มเติม
• ช่วยให้เข้าใจความสำคัญของการคุ้มครองข้อมูลและข้อกำหนดที่เข้มงวดของ GDPR
• โครงการอื่นที่มีความสามารถคล้ายกัน ได้แก่ บริการคุ้มครองข้อมูลของ Google Cloud