最新处罚:荷兰AP对Uber因未能透明地处理司机数据而罚款1000万欧元

简介: 荷兰数据保护当局(AP)认定Uber违反GDPR,包括访问权不易行使、信息不清晰、数据保留期限未明确说明、隐私政策不足以保障数据主体权利等。AP决定对Uber处以1000万欧元罚款。

2024年1月31日,荷兰数据保护当局(AP)宣布其于2023年12月11日发布的决定,对Uber Technologies Inc.和Uber B.V.(统称Uber)违反《通用数据保护条例》(GDPR)处以1000万欧元的罚款。

决定背景

AP强调它在法国收到超过170名司机的投诉后展开了调查,这些投诉是通过Ligue des droits de l'homme et du citoyen(LDH)作为中介提交给法国数据保护当局(CNIL)的,司机的投诉涉及对其数据的访问。随后,因为Uber的欧洲总部位于荷兰,CNIL将投诉转发给AP。

荷兰数据保护当局的调查结果

荷兰数据保护当局发现司机用于请求访问其数据的数字表单并不容易访问,需要经过太多步骤,并且无法直观地引导到请求表单。AP认为由于与司机的大多数互动是通过Uber应用程序进行的,司机应该能够通过应用程序行使其数据主体权利。据此,AP认此Uber违反了GDPR第12条第2款关于访问权的规定。

AP还认为作为数据主体向司机提供的信息不符合GDPR第12条第1款的可理解性要求,因为提供的信息不是用简明扼要的语言表述的。其中,Uber应用程序的指导信息仅提供英语,而不是法语。尽管法国司机必须通过英语考试,但AP认为参考瑞典监督当局(IMY)关于Spotify的决定,Uber未采取足够措施确保数据主体理解可用的信息,从而违反了GDPR第12条第1款。

AP还指出关于司机数据保留的问题,没有在隐私条款和条件中具体说明优步保留司机个人数据的时间,因此AP认定Uber违反了GDPR第13条第2款(a)、第15条第1款(a)和第15条第1款(d)的规定。Uber的隐私政策还未说明个人数据传输发生在欧洲经济区以外的哪些国家,以及采取了哪些措施来解决这个问题。而且,Uber只提供了一般性条款,而没有提供明确的信息,未能让数据主体有机会确定他们可以获得哪些保障。因此,Uber被认定违反了GDPR第13条第1款(f)的规定。

最后,AP指出Uber的隐私政策未提及数据可移植权,"接收数据 "一词的使用与数据可携带权无关,因为它也可能涉及到访问权。因此,Uber被认定违反了GDPR第13条第2款(b)的规定。

鉴于上述违规行为,AP认为对Uber处以1000万欧元的罚款是合适的。

相关文章
苹果四大供应商向高通索赔90亿;金立否认裁定破产清算
他们于去年7月向美国法院控告高通违反反垄断法,借此反击高通在去年5月控告他们拒绝为代工苹果产品向高通支付专利授权费。
482 0
德法提议设5000亿欧元恢复基金,资助受重创成员国走出疫情
5月18日,法国和德国提议设立一个5000亿欧元(5420亿美元)的基金,以推动欧盟经济从疫情破坏中恢复。
新西兰防破产出新招:冻结企业债务直至恢复正常交易
4月3日,新西兰表示将出台新立法,帮助受疫情打击而面临破产的企业存活下去和保住员工
德国:批准7500亿欧元一揽子援助计划抗疫情
3月23日,德国批准了一个前所未有的、规模超过7500亿欧元(8080亿美元)一揽子援助计划,以减轻疫情对经济造成的影响。
|
安全 Android开发
出售带漏洞的设备违法吗?德国消协拟起诉一家地方零售商
本文讲的是出售带漏洞的设备违法吗?德国消协拟起诉一家地方零售商,德国消费者保护协会正在起诉一家电子零售商,因其向客户隐瞒并销售存有安全漏洞的Android手机。
1205 0