Uber is door de Autoriteit Persoonsgegevens (AP) bestraft met een forse boete van €10 miljoen. De reden? Uber gaf niet genoeg duidelijkheid over de bewaartermijn van gegevens van Europese chauffeurs en naar welke landen buiten Europa deze gegevens werden verzonden. De AP kwam ook tot de conclusie dat Uber het voor chauffeurs te moeilijk maakte om gebruik te maken van hun privacyrechten.
Aleid Wolfsen, voorzitter van de AP, benadrukte het belang van helderheid over persoonsgegevens: “Chauffeurs moeten kunnen begrijpen hoe Uber met hun gegevens omgaat. Helaas was dit onduidelijk; chauffeurs hadden betere en preciezere informatie moeten krijgen. Transparantie is een fundamenteel onderdeel van gegevensbescherming.”
De AP merkte op dat Uber het chauffeurs onnodig lastig maakte om toegang te krijgen tot hun eigen gegevens. Ondanks een digitaal formulier in de app, was het proces om inzage te krijgen te omslachtig en onduidelijk. Bovendien was de informatie die Uber verstrekte in reactie op verzoeken vaak ongestructureerd en moeilijk te interpreteren.
Uber’s privacyvoorwaarden waren ook niet specifiek genoeg over de bewaartermijn van gegevens en de beschermingsmaatregelen die worden getroffen bij het doorsturen van gegevens naar landen buiten de EER. “Dit toont aan dat Uber het de chauffeurs moeilijk maakte om hun privacyrechten uit te oefenen, en dat is niet toegestaan. De wet vereist dat Uber de chauffeurs hierin moet ondersteunen,” zei Wolfsen.
De zaak kwam aan het licht na klachten van meer dan 170 Franse chauffeurs bij de Ligue des droits de l’homme et du citoyen (LDH), die een klacht indienden bij hun nationale privacytoezichthouder. Die stuurde de kwestie door naar de AP, omdat het Europese hoofdkantoor van Uber in Nederland gevestigd is.
Bij het vaststellen van de boete heeft de AP rekening gehouden met de grootte van Uber en de ernst van de overtredingen. Tijdens de overtredingen waren er ongeveer 120.000 chauffeurs actief voor Uber in Europa. Uber heeft bezwaar gemaakt tegen de beslissing, maar volgens de AP zijn er inmiddels verbeteringen doorgevoerd.
Wat kun je leren van deze boete?
Als ondernemer of bestuurder van een vereniging is het essentieel om de privacywetgeving serieus te nemen. Deze boete voor Uber, maar ook die voor ICS onderstrepen het belang van transparantie en zorgvuldigheid rondom persoonsgegevens. Wat kunnen we leren van deze kostbare misstappen? In dit artikel lees je enkele concrete en praktische lessen.