Cơ quan quản lý cho biết, việc chuyển dữ liệu là "vi phạm nghiêm trọng" Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu vì họ không bảo vệ thông tin của người lái xe một cách phù hợp.
“Uber đã không đáp ứng các yêu cầu của GDPR để đảm bảo mức độ bảo vệ dữ liệu liên quan đến việc chuyển giao sang Mỹ. Điều đó rất nghiêm trọng”, chủ tịch Cơ quan Bảo vệ Dữ liệu Hà Lan (DPA) Aleid Wolfsen cho biết trong một tuyên bố.
Uber đang đối diện với khoản phạt kỷ lục từ Hà Lan vì truyền dữ liệu tài xế sang Mỹ.
DPA cho biết Uber đã thu thập thông tin nhạy cảm của các tài xế châu Âu, bao gồm giấy phép taxi, dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân "và trong một số trường hợp, thậm chí cả dữ liệu tội phạm và y tế của tài xế".
DPA cho biết, trong khoảng thời gian hai năm, thông tin đã được chuyển đến trụ sở chính của Uber tại Mỹ mà không cần sử dụng công cụ chuyển dữ liệu.
“Vì lý do này, việc bảo vệ dữ liệu cá nhân là không đủ”, DPA cho biết, đồng thời lưu ý Uber đã “chấm dứt hành vi vi phạm”.
Uber cho biết họ sẽ kháng cáo khoản tiền phạt này, một quá trình sẽ hoãn hình phạt nhưng có thể mất tới 4 năm. "Quyết định sai lầm và khoản tiền phạt lớn này hoàn toàn không có cơ sở", một phát ngôn viên của Uber cho biết.
"Quy trình chuyển dữ liệu xuyên biên giới của Uber đã tuân thủ GDPR trong suốt 3 năm bất ổn to lớn giữa EU và Mỹ. Chúng tôi sẽ kháng cáo và vẫn tin tưởng rằng lẽ thường sẽ thắng thế", đại diện Uber cho biết.
Uber cho biết sẽ kháng cáo quyết định của Hà Lan.
EU đã ban hành một loạt các quy tắc về những gì các công ty công nghệ lớn có thể và không thể làm, đồng thời áp dụng các khoản tiền phạt lớn đối với các hành vi vi phạm trong những năm gần đây.
DPA cho biết họ đã bắt đầu cuộc điều tra sau khi hơn 170 tài xế người Pháp khiếu nại với một nhóm nhân quyền của Pháp, sau đó nhóm này đã đệ đơn khiếu nại lên cơ quan giám sát bảo vệ dữ liệu của Pháp.
Theo GDPR, một doanh nghiệp xử lý dữ liệu ở một số quốc gia EU phải làm việc với cơ quan bảo vệ dữ liệu tại nơi đặt trụ sở chính. Trụ sở chính của Uber tại Châu Âu nằm ở Hà Lan.
Wolfsen cho biết: “Ở châu Âu, GDPR bảo vệ các quyền cơ bản của con người bằng cách yêu cầu các doanh nghiệp và chính phủ xử lý dữ liệu cá nhân một cách cẩn trọng. Nhưng thật đáng buồn, điều này không phải là điều hiển nhiên bên ngoài châu Âu”.
“Hãy nghĩ đến các chính phủ có thể khai thác dữ liệu trên quy mô lớn. Đó là lý do tại sao các doanh nghiệp thường có nghĩa vụ phải thực hiện các biện pháp bổ sung nếu họ lưu trữ dữ liệu cá nhân của người châu Âu bên ngoài Liên minh châu Âu".
Đây là lần thứ 3 Uber phải đối diện với khoản tiền phạt khổng lời từ Cơ quan Bảo vệ Dữ liệu Hà Lan (DPA).
Đây là khoản tiền phạt thứ ba của DPA đối với Uber sau khoản tiền phạt 600.000 euro vào năm 2018 và 10 triệu euro vào năm ngoái. Khoản phạt gần đây nhất liên quan đến một khiếu nại có từ năm 2021, trong khoảng thời gian ba năm "khi có sự không chắc chắn đáng kể liên quan đến việc chuyển dữ liệu giữa Hoa Kỳ và EU".
Báo cáo cho biết, sự bất ổn bắt đầu sau khi Tòa án Công lý của Liên minh Châu Âu tuyên bố khuôn khổ chuyển giao dữ liệu được gọi là Lá chắn bảo mật EU - Mỹ là vô hiệu vào năm 2020.
Một văn bản kế thừa, Khung bảo mật dữ liệu EU - Mỹ, đã được Ủy ban Châu Âu thông qua vào năm ngoái.
