Uber ontvangt recordboete van €290 miljoen van de Autoriteit Persoonsgegevens
Op 26 augustus 2024 heeft de Autoriteit Persoonsgegevens (AP) een recordboete van 290 miljoen euro opgelegd aan Uber vanwege het gedurende 2 jaar onrechtmatig doorgeven van persoonsgegevens van Europese taxichauffeurs naar de Verenigde Staten (VS) zonder de vereiste beschermingsmaatregelen. Onder de gegevens bevonden zich onder meer locatiegegevens, betaalgegevens, identiteitsbewijzen en in sommige gevallen ook strafrechtelijke en medische gegevens. De recordboete benadrukt de strikte eisen van de Algemene verordening gegevensbescherming (AVG) en de risico’s die bedrijven lopen bij internationale gegevensdoorvoer.
Betrokkenheid van derde landen
Op grond van de AVG is het verboden dat persoonsgegevens naar derde landen buiten de Europese Economische Ruimte (EER) over te dragen, tenzij er een adequaat beschermingsniveau is. De VS had geen adequaatheidsbesluit na de ongeldigverklaring van het EU-VS Privacy Shield. - Inmiddels geldt het adequaatheidsbesluit voor de Verenigde Staten (voor organisaties die meedoen aan het Data Privacy Framework). - Voor doorgifte van persoonsgegevens aan een Amerikaanse partij als Uber moest gebruik worden gemaakt van passende waarborgen, zoals een modelcontract dat door de Europese Commissie is vastgesteld of binding corporate rules (BCR). In het geval van Uber werd vastgesteld dat deze waarborgen niet waren toegepast.
Waar moet een bedrijf op letten bij doorgifte van persoonsgegevens?
De recordboete van Uber leert ons dat bedrijven die betrokken zijn bij de doorgifte van persoonsgegevens naar derde landen actie moeten ondernemen. Dit houdt in dat zij:
- Een grondige beoordeling van hun huidige gegevensverwerkingen moeten uitvoeren om te identificeren welke persoonsgegevens internationaal worden doorgegeven, BG Legal kan u hierbij helpen met de AVG-compliance check of AVG Startpakket.
- Moeten bepalen of er adequaatheidsbesluiten bestaan voor de betrokken derde landen dan wel bedrijven en, indien dit niet het geval is, passende waarborgen opzetten.
- Juridische en technische maatregelen nemen om de persoonsgegevens te beschermen, zoals het implementeren van modelcontracten of gedragscodes.
- Educatie en training aanbieden aan het personeel omtrent de AVG en de verplichtingen die voortvloeien uit deze regelgeving.
- Instructies en richtlijnen opstellen die voldoen aan de AVG voor alle medewerkers die betrokken zijn bij het verwerken van persoonsgegevens.
BG.Legal is beschikbaar voor het geven van trainingen en presentaties inzake de toepassing en naleving van de AVG.
Conclusie
De recordboete van 290 miljoen euro aan Uber door de Autoriteit Persoonsgegevens benadrukt de noodzaak van strikte naleving van de AVG, met name met betrekking tot de internationale doorgifte van persoonsgegevens. Het feit dat Uber geen gebruik heeft gemaakt van een geldig doorgifte-instrument toont aan dat bedrijven scherp moeten zijn in hun verplichtingen onder de AVG. Deze zaak zal ongetwijfeld dienen als een precedent en een waarschuwing voor andere organisaties die internationaal opereren en persoonsgegevens van Europese burgers verwerken.
Heeft u vragen?
Heeft uw bedrijf vragen over de AVG-naleving of wilt u weten hoe u de risico’s bij internationale gegevensdoorvoer kunt minimaliseren? Neem dan contact op met BG.Legal. Onze advocaten gespecialiseerd in het privacyrecht staan klaar om u te helpen bij het navigeren door deze complexe regelgeving en uw organisatie compliant te maken.