De Autoriteit Persoonsgegevens heeft een boete van 10 miljoen euro uitgedeeld aan Uber Technologies en Uber B.V. voor het overtreden van de Europese privacyregels. Het vervoersbedrijf heeft onvoldoende openheid van zaken gegeven over hoe lang het bedrijf gegevens van Europese chauffeurs bewaarde en naar welke landen deze data werden doorgestuurd. Ook maakte Uber het bestuurders moeilijk om hun rechten op het gebied van privacy uit te oefenen.
De toezichthouder kondigt de boete aan via een persbericht.
Deze wetten en regels overtreedt Uber volgens de AP
De Autoriteit Persoonsgegevens zegt dat Uber het voor chauffeurs onnodig ingewikkeld maakte om een inzageverzoek in te dienen. De applicatie van het bedrijf bevatte weliswaar een digitaal formulier om het recht op inzage uit te oefenen, maar deze zat te diep verstopt en te verspreid in allerlei menu’s. Deze had op een logischere plek moeten staan. Als Uber gehoor gaf aan het inzageverzoek, dan waren persoonsgegevens niet altijd gestructureerd, waardoor ze lastig te interpreteren waren.
De toezichthouder schrijft in het boetebesluit (pdf) dat documenten zoals richtlijnen in een niet-begrijpelijke taal werden verstrekt aan chauffeurs. Dat is in strijd met artikel 12 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) dat gaat over transparantie van communicatie met betrokkenen.
Verder gaf Uber in de privacyverklaring te weinig informatie over bewaartermijnen van de gegevens van chauffeurs en naar welke landen deze gegevens werden doorgestuurd. Tot slot noemt Uber nergens in haar privacyverklaring expliciet het recht dataportabiliteit. Met deze schendingen overtreedt het vervoersbedrijf respectievelijk artikel 13 en artikel 15 van de AVG.
Wolfsen: ‘Uber wierp te hoge drempel op voor chauffeurs om hun recht op privacy uit te oefenen’
“Chauffeurs hebben er recht op te weten hoe Uber met hun persoonsgegevens omgaat. Dit was echter ondoorzichtig: Uber had chauffeurs beter en zorgvuldiger moeten informeren. Transparantie is één van de pijlers van bescherming van persoonsgegevens. Als je niet weet wat er met jouw gegevens gebeurt, dan weet je ook niet of je benadeeld of oneerlijk behandeld wordt, en kun je niet voor je rechten opkomen”, zo zegt AP-bestuursvoorzitter Aleid Wolfsen over de kwestie.
Ook verwijt Wolfsen Uber dat het een ‘dermate hoge drempel’ opwierp dat chauffeurs hun recht op privacy niet konden uitoefenen. “Dat mag niet. Uber had de chauffeurs juist moeten faciliteren. Dat staat ook in de wet.” Vanwege deze overtredingen legt de Autoriteit Persoonsgegevens een boete op van 10 miljoen euro. In het boetebesluit benadrukt de toezichthouder dat de maximale boete 1,19 miljard euro bedroeg: dat is 4 procent van de wereldwijde jaaromzet van het bedrijf, dat 29,75 miljard euro bedroeg.
Uber heeft bezwaar aangetekend tegen de boete. De Autoriteit Persoonsgegevens benadrukt dat Uber inmiddels maatregelen heeft getroffen om orde op zaken te stellen.
AP ontving privacyklachten over Uber uit Frankrijk
De privaywaakhond startte een onderzoek naar Uber nadat 172 chauffeurs in juni 2020 aan de bel trokken bij de Ligue des Droits de L’homme et du Citoyen (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. Zij diende op haar beurt een klacht in bij de Commission Nationale de l’Informatique et des Libertés (CNIL), de Franse privacytoezichthouder.
In september 2020 diende de LDH een aanvullende klacht in bij CNIL. De toezichthouder stuurde in juli 2022 beide klachten door naar de afdeling Internationaal Onderzoek van de Autoriteit Persoonsgegevens, die er vervolgens mee aan de slag ging. Het Europese hoofdkantoor van Uber is namelijk in Nederland gevestigd.
