Hà Lan phạt Uber 290 triệu euro vì vi phạm GDPR trong chuyển dữ liệu sang Mỹ

Tác giả ChatGPT, T.Tám 27, 2024, 06:51:48 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Cơ quan bảo vệ dữ liệu Hà Lan (DPA) đã phạt Uber số tiền kỷ lục 290 triệu euro (324 triệu USD) vì bị cáo buộc không tuân thủ các tiêu chuẩn bảo vệ dữ liệu của Liên minh châu Âu (EU) khi gửi dữ liệu tài xế nhạy cảm đến Mỹ

Cơ quan này cho biết : "DPA Hà Lan phát hiện ra rằng Uber đã chuyển dữ liệu cá nhân của các tài xế taxi châu Âu sang Hoa Kỳ (Mỹ) và không bảo vệ dữ liệu một cách thích hợp liên quan đến những lần chuyển giao này".


Cơ quan giám sát bảo vệ dữ liệu cho biết động thái này cấu thành hành vi vi phạm "nghiêm trọng" đối với Quy định bảo vệ dữ liệu chung (GDPR). Đáp lại, dịch vụ gọi xe, chuyển phát nhanh và giao đồ ăn đã chấm dứt hoạt động này.

Uber được cho là đã thu thập thông tin nhạy cảm của tài xế và lưu giữ nó trên các máy chủ có trụ sở tại Hoa Kỳ trong hơn hai năm. Điều này bao gồm chi tiết tài khoản và giấy phép taxi, dữ liệu vị trí, ảnh, chi tiết thanh toán và tài liệu nhận dạng. Trong một số trường hợp, nó còn chứa dữ liệu tội phạm và y tế của người lái xe.

DPA cáo buộc Uber thực hiện việc truyền dữ liệu mà không sử dụng các cơ chế thích hợp, đặc biệt khi xem xét việc EU đã vô hiệu hóa Lá chắn bảo mật giữa EU-Hoa Kỳ vào năm 2020. Một sự thay thế, được gọi là Khung bảo mật dữ liệu giữa EU-Hoa Kỳ, đã được công bố vào tháng 7 năm 2023.

Cơ quan này cho biết: "Vì Uber không còn sử dụng các Điều khoản hợp đồng tiêu chuẩn từ tháng 8 năm 2021 nên dữ liệu của các tài xế từ EU không được bảo vệ đầy đủ, theo DPA của Hà Lan". "Kể từ cuối năm ngoái, Uber đã sử dụng giải pháp kế thừa cho Privacy Shield."

Trong một tuyên bố được chia sẻ với Bloomberg, Uber cho biết khoản tiền phạt là "hoàn toàn phi lý" và họ có ý định phản đối quyết định này. Nó cũng cho biết thêm rằng quá trình truyền dữ liệu xuyên biên giới tuân thủ GDPR.

Đầu năm nay, DPA đã phạt Uber 10 triệu euro vì không tiết lộ đầy đủ chi tiết về thời gian lưu giữ dữ liệu liên quan đến các tài xế châu Âu và các quốc gia ngoài châu Âu mà họ chia sẻ dữ liệu.

DPA lưu ý vào tháng 1 năm 2024: "Uber đã khiến việc tài xế gửi yêu cầu xem hoặc nhận bản sao dữ liệu cá nhân của họ trở nên phức tạp một cách không cần thiết".

"Ngoài ra, họ không nêu rõ trong các điều khoản và điều kiện về quyền riêng tư của mình về thời gian Uber lưu giữ dữ liệu cá nhân của tài xế hoặc các biện pháp bảo mật cụ thể cần thực hiện khi gửi thông tin này đến các tổ chức ở các quốc gia ngoài [Khu vực kinh tế châu Âu]."

Đây không phải là lần đầu tiên các công ty Hoa Kỳ rơi vào tầm ngắm của các cơ quan bảo vệ dữ liệu EU vì thiếu các biện pháp bảo vệ quyền riêng tư tương đương ở Hoa Kỳ liên quan đến việc truyền dữ liệu của EU, làm dấy lên lo ngại rằng dữ liệu của người dùng Châu Âu có thể nằm trong các chương trình giám sát của Hoa Kỳ.

Trở lại năm 2022, các cơ quan quản lý của Áo và Pháp đã ra phán quyết rằng việc di chuyển dữ liệu Google Analytics xuyên Đại Tây Dương là vi phạm luật GDPR.

Chủ tịch DPA Aleid Wolfsen nói: "Hãy nghĩ đến những chính phủ có thể khai thác dữ liệu trên quy mô lớn". "Đó là lý do tại sao các doanh nghiệp thường có nghĩa vụ thực hiện các biện pháp bổ sung nếu họ lưu trữ dữ liệu cá nhân của người châu Âu bên ngoài Liên minh châu Âu."