2024 年 1 月 31 日,在接到司机的投诉之后,荷兰数据保护机构(AP)宣布了其于 2023 年 12 月 11 日发布的决定,对 Uber Technologies Inc. 和 Uber B.V.(以下统称Uber)处以 1000 万欧元的罚款,原因是 Uber 违反了GDPR。
决定的背景
AP强调,在收到法国 170 多名司机的投诉后展开调查的,这些投诉是通过中介机构人权与公民权利联盟(LDH)向法国数据保护机构(CNIL)提出。随后,CNIL 将投诉转给了AP,因为 Uber 的欧洲总部位于荷兰。具体而言,司机们的投诉涉及对其数据的访问。
AP 的调查结果
AP发现,司机用于请求访问其数据的电子表单并不容易获取,需要经过的步骤过多,无法直观地找到请求表单。AP 认为,由于与司机的大多数互动都是通过 Uber 应用程序进行的,司机应当能够通过该应用程序行使其数据主体权利。因此,AP 认定 Uber 违反了 GDPR 第 12(2) 条关于访问权的规定。
AP还认为,根据GDPR第12(1)条的含义,向作为数据主体的司机提供的信息是不可理解的,因为这些信息的语言表达并不简单明了。Uber 应用程序上的指南是用英语而不是法语提供的。虽然法国司机必须参加英语考试,但 AP 参照瑞典监管关于 Spotify 的决定,认为 Uber没有采取足够的措施确保数据主体理解所提供的信息,因此违反了 GDPR 第 12(1) 条。
在提及保留/保存司机数据时,AP 指出,尽管 Uber 说明了确定保存期限的标准可能就足够了,但仅仅说明个人数据为某些目的保留所需的时间不能等同于说明确定保留期限的标准。相反,AP认为,确定保留期限的标准应保障数据主体能够决定其个人资料的保留期限,但Uber未能做到这一点。因此,AP裁定 Uber 违反了GDPR第 13(2)(a)条、第 15(1)(a)条和第 15(1)(d)条。
AP进一步指出,Uber 的隐私政策没有说明个人数据传输发生在欧洲经济区以外的哪些国家,以及采取了哪些措施来解决这个问题。具体而言,AP解释到,Uber只提供了一般性条款,而没有提供明确的信息,未能让数据主体有机会确定他们可以获得哪些保障。因此,Uber 被认定违反了GDPR第 13(1)(f)条。
最后,AP 认为 Uber 的隐私政策没有提及数据可携带权,所谓“接收数据”一词的使用与数据可携带权无关,因为它也可能指向访问权。因此,Uber 被认为违反了GDPR第 13(2)(b)条。
结果
鉴于上述违规行为,AP认为对 Uber 处以 1000 万欧元的罚款是适当的。
在履行GDPR时,涉及双边市场的企业需注意不仅要关注消费者的个人信息保护,还应重视服务提供者(若为自然人,如司机)的个人信息保护。具体而言,对于落入GDPR管辖范围的企业:
应当考虑简化数据主体行使访问权的流程;
参考Uber案的处罚,核查自身是否以清晰、简单、明了的语言告知数据主体,包括但不限于保留个人数据期限的标准、个人信息跨境传输的目标国家和为确保跨境传输合规所采取的合规措施等;
确保数据主体了解其享有GDPR赋予的数据主体权利;等等。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...