最高罚单！Uber因违反GDPR数据跨境传输被罚超23亿

01、第三次被处罚

这是荷兰数据保护局第三次对Uber处以行政罚款。

此前Uber的两次罚款。

第一次是2018年11月因数据访问控制不力而被处以600,000欧元的罚款。第二次罚款是在2024年1月，金额为10,000,000欧元，原因是Uber在处理来自欧盟主体的数据时，其数据管理做法不够透明和明确。

荷兰数据保护局对Uber数据行为的调查是由法国司机的投诉引发的，并由法国信息自由委员会（CNIL）将投诉信息同步荷兰数据保护局。

欧洲法院的Schrems II裁决判定欧盟-美国隐私盾框架无效。

隐私盾协议原本是用于保护个人数据在欧盟和美国之间传输时的隐私权益，但由于美国的数据保护标准不足，法院认为不能提供足够的保护。

尽管有Schrems II裁决，Uber仍在没有实施标准合同条款或其他保障措施的情况下，继续将个人数据传输到美国，这违反了GDPR第44条的规定。该条款要求向第三国传输数据时，必须确保数据接收方提供与欧盟同等的数据保护水平。

相似例子，爱尔兰数据保护委员会（DPC）对 Meta（Facebook）处以13亿美元巨额罚款；此前四家公司因使用Google Analytics造成类似违规而被瑞典隐私保护局（IMY）罚款110万美元。

02、Uber回应：将提出上诉

Uber公司认为，他们认为《通用数据保护条例》（GDPR）第五章不适用于他们，理由是GDPR第三条已经将该法规的保护范围扩展到了他们在美国的数据处理活动。

公司声称，根据GDPR的定义，没有发生数据传输。因为司机们是直接通过应用程序将他们的数据发送到Uber在美国的服务器上的，而不是通过一个中间方或者欧盟境内的服务器。

荷兰数据保护局不接受这些论点，然后继续执行了重大的措施或处罚。

当BleepingComputer网站向Uber公司提出要求发表评论时，Uber的一位发言人回应说，他们认为裁决是不合理的，并表示他们打算对该裁决提出上诉。

Uber坚持认为，其隐私声明中规定的数据处理实践符合GDPR。此外，Uber还认为，用户之间以及用户与Uber之间的数据交换是其服务的一个基本的、固有的组成部分。

整个上诉过程可能会持续长达四年的时间。在此期间，原判决中所规定的罚款暂不会执行。