Uber krijgt van Autoriteit Persoonsgegevens (AP) en Engelse toezichthouder Information Commissioner’s Office (ICO) nog matige Boetes opgelegd
Uber krijgt een boete van € 600.000,- opgelegd door de AP en van de ICO een boete van £385.000,- (20% korting indien betaald voor 2 januari 2019) wegens het niet tijdig melden van een datalek en een niet passend beveiligingsniveau, waarbij wereldwijd 54 miljoen Uberklanten waren betrokken, waarvan 174.000 in Nederland. Het ging om persoonsgegevens zoals namen, emailadressen en telefoonnummers van klanten en chauffeurs.
De Nederlandse Autoriteit Persoonsgegevens gaf sinds november 2017 leiding aan de taskforce die het onderzoek naar het datalek bij Uber instelde. De privacytoezichthouders van België, Duitsland, Frankrijk, Italië, Spanje en het Verenigd Koninkrijk waren ook bij het onderzoek betrokken.
Bij Uber was van 13 oktober 2016 tot 15 november 2016 sprake van een datalek. Op 14 november 2016 was Uber hiervan in kennis gesteld. Uber heeft tot 21 november 2017 (meer dan een jaar later) gewacht met het doen van de melding bij de AP. De datalekmelder aan Uber werd ook nog eens $ 100.000,- zwijggeld betaald.
Deze boetes zijn ”peanuts” als je dat vergelijkt met de schadeclaims die Uber in de verenigde Staten heeft afgekocht voor 148 miljoen dollar. De toezichthouders hebben nog het oude boeteregiem van hun wetgeving toegepast in Nederland de Wet Bescherming Persoonsgegevens, die al een bijna identieke regeling als in de AVG kende, maar met aanzienlijk lagere boetes. Mogelijk dat de andere toezichthouders ook nog boetes gaan opleggen. Onder de AVG zou Uber ongetwijfeld aanzienlijk hogere boetes opgelegd hebben gekregen die kunnen immers oplopen tot maar liefst € 20.000.000,- of 4% van de wereldwijde jaaromzet.
Voor juristen is de uitspraak van de AP onder meer interessant omdat de AP van oordeel is dat Uber Nederland niet alleen, maar tezamen met Uber VS doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Uber Nederland en Uber VS zijn daarmee als gezamenlijk verantwoordelijke aan te merken. Elk van de verantwoordelijken is dan aansprakelijk voor het geheel van de gegevensverwerking en de naleving van de daarmee samenhangende verplichtingen
De AP stelt verder dat de overgang van de Wet Bescherming Persoonsgegevens naar AVG geen (wezenlijke) materiële wijziging van de regelgeving inhoudt. Er wordt nu niet anders gedacht over de strafwaardigheid van de meldplicht als zodanig. Daarmee is er in de visie van de AP sprake van een ononderbroken rechtsorde met als consequentie dat, ter waarborging van de continuïteit van de rechtsorde, voor gedragingen die – zoals in onderhavig geval – plaatsvonden onder het regime van richtlijn 95/46/EG en de Wbp, de naleving moet worden verzekerd van de rechten en plichten zoals die golden onder dat regime en dus ook onder de AVG.
De volledige teksten van de besluiten van de AP en Ico treft u aan in onderstaande link:
Ico Data Protection act / uber-monetary-penalty-notice-26-november-2018