Uber krijgt van Autoriteit Persoonsgegevens (AP) en Engelse toezichthouder Information Commissioner’s Office (ICO) nog matige Boetes opgelegd

 in Privacy

Uber krijgt een boete van € 600.000,- opgelegd door de AP en van de ICO een boete van £385.000,- (20% korting indien betaald voor 2 januari 2019) wegens het niet tijdig melden van een datalek en een niet passend beveiligingsniveau, waarbij wereldwijd 54 miljoen Uberklanten waren betrokken, waarvan 174.000 in Nederland. Het ging om persoonsgegevens zoals namen, emailadressen en telefoonnummers van klanten en chauffeurs.

De Nederlandse Autoriteit Persoonsgegevens gaf sinds november 2017 leiding aan de taskforce die het onderzoek naar het datalek bij Uber instelde. De privacytoezichthouders van België, Duitsland, Frankrijk, Italië, Spanje en het Verenigd Koninkrijk waren ook bij het onderzoek betrokken.

Bij Uber was van 13 oktober 2016 tot 15 november 2016 sprake van een datalek. Op 14 november 2016 was Uber hiervan in kennis gesteld. Uber heeft tot 21 november 2017 (meer dan een jaar later) gewacht met het doen van de melding bij de AP. De datalekmelder aan Uber werd ook nog eens $ 100.000,- zwijggeld betaald.

Deze boetes zijn ”peanuts” als je dat vergelijkt met de schadeclaims die Uber in de verenigde Staten heeft afgekocht voor 148 miljoen dollar. De toezichthouders hebben nog het oude boeteregiem van hun wetgeving toegepast in Nederland de Wet Bescherming Persoonsgegevens, die al een bijna identieke regeling als in de AVG kende, maar met aanzienlijk lagere boetes. Mogelijk dat de andere toezichthouders ook nog boetes gaan opleggen. Onder de AVG zou Uber ongetwijfeld aanzienlijk hogere boetes opgelegd hebben gekregen die kunnen immers oplopen tot maar liefst € 20.000.000,- of 4% van de wereldwijde jaaromzet.

Voor juristen is de uitspraak van de AP onder meer interessant omdat de AP van oordeel is dat Uber Nederland niet alleen, maar tezamen met Uber VS doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Uber Nederland en Uber VS zijn daarmee als gezamenlijk verantwoordelijke aan te merken. Elk van de verantwoordelijken is dan aansprakelijk voor het geheel van de gegevensverwerking en de naleving van de daarmee samenhangende verplichtingen

De AP stelt verder dat de overgang van de Wet Bescherming Persoonsgegevens naar AVG geen (wezenlijke) materiële wijziging van de regelgeving inhoudt. Er wordt nu niet anders gedacht over de strafwaardigheid van de meldplicht als zodanig. Daarmee is er in de visie van de AP sprake van een ononderbroken rechtsorde met als consequentie dat, ter waarborging van de continuïteit van de rechtsorde, voor gedragingen die – zoals in onderhavig geval – plaatsvonden onder het regime van richtlijn 95/46/EG en de Wbp, de naleving moet worden verzekerd van de rechten en plichten zoals die golden onder dat regime en dus ook onder de AVG.

De volledige teksten van de besluiten van de AP en Ico treft u aan in onderstaande link:

Ico Data Protection act / uber-monetary-penalty-notice-26-november-2018

Defintief boetebesluit 23112018-openbare versie

Recente berichten
  • 3 juni 2021

    SER adviseert over de hervorming van de arbeidsmarkt.

    Marion Hagenaars
    Gisteren heeft de SER een ontwerpadvies gepubliceerd voor een nieuw kabinet. De SER (ondernemers, werknemers en onafhankelijke kroonleden) is voor sociaal-economische vraagstukken de belangrijkste adviesraad voor de regering en het parlement. De SER adviseert fors te investeren in brede welvaart, waaronder in zekerheid van werk en inkomen. Nederland is gemiddeld genomen een welvarend en gelukkig
    Lees verder
  • 27 mei 2021

    Het doolhof van de wet- en regelgeving op het gebied van de zieke werknemer: deel 2.

    Marion Hagenaars
    De loonstop, de werknemer die vraagt om een nieuwe afspraak met de bedrijfsarts en de werkgever die zich “verschuilt” achter het advies van de bedrijfsarts.  Re-integratietrajecten zitten vol valkuilen en zijn soms gekmakend. Werknemers die na een verkregen advies van de bedrijfsarts direct om een nieuwe afspraak vragen, werkgevers die het gevoel hebben voor de
    Lees verder
  • 11 mei 2021

    INPLP article May 11, 2021

    Wouter Huisman
    Bob Cordemeyer
    Fine of €475,000 for Booking.com reporting data breach 22 days to late. According to a press release of April 6 the Dutch Data Protection Authority (Autoriteit Persoonsgegevens) imposed a €475,000 fine on Booking.com because the company took too long to report a data breach to the DPA into compliance with Article 33 GDPR.
    Lees verder

Plaats een reactie

Top