اتحادیه اروپا اوبر را به دلیل نقض قوانین انتقال داده ۳۲۴ میلیون دلار جریمه کرد

به گزارش پیوست به نقل از تک‌کرانچ، این جریمه پیرامون انتقال داده‌های خصوصی رانندگان اتحادیه اروپا به آمریکا، مرکز اصلی فعالیت‌های اوبر، صادر شده است. مقررات GDPR امکان جریمه‌ای تا سرحد ۴ درصد از ورودی پول بین‌المللی شرکت را برای رگولاتور‌ها فراهم می‌کند.

درآمد سالانه اوبر در سال ۲۰۲۳ حدود ۳۴.۵ میلیارد یورو بود و با این حساب جریمه صادر شده کمتر از سرحد حداکثری است. با این حال جریمه اوبر یکی از بزرگترین موارد صادر شده برای شرکت فناوری از زمان اجرایی شدن GDPR در سال ۲۰۱۸ است.

این جریمه ماحصل چندین شکایت از سوی ۱۷۰ راننده اوبر در فرانسه است که تاریخ آن به سال ۲۰۲۱ باز می‌گردد. از آنجایی که دفتر اصلی اوبر در اتحادیه اروپا در هلند واقع شده است، رگولاتور هلندی (Autoriteit Persoonsgegevens یا AP) رهبری نظارت بر اجرای GDPR در اوبر را برعهده دارد. این شکایت‌ها از سمت یک سازمان حقوق بشری به نام Ligue des droits de l’Homme (LDH) در اختیار نهاد حریم خصوصی فرانسه قرار گرفت و سپس به AP منتقل شد.

اوبر در ماه ژانویه نیز براساس حقوق دسترسی در همین شکایت‌های ۱۰ میلیون یورو جریمه شد. با این حال جریمه جدید از اهمیت بالاتری نسبت به اقدام قبلی برخوردار است.

مبلغ بالای جریمه نشانگر شدت نقض قوانین از نگاه AP است که در بیانیه خبری خود نوشت اوبر نتوانسته است به درستی از داده‌هایی که از اتحادیه اروپا خارج کرده محافظت کند و از آن به عنوان «یک نقض جدی» یاد کرده است.

مساله محافظت از داده مربوط به برنامه‌های نظارتی آژانس امنیت ملی آمریکا است (موضوعی که در نتیجه افشاگری‌های ادوارد اسنودن در سال ۲۰۱۳ به بحث مهمی تبدیل شد) و دادگاه‌های اروپا دائم از به عنوان خطری برای محافظت از داده‌ها و حقوق حریم خصوصی مردم اروپا یاد کرده‌اند. براساس قانون GDPR، محافظت‌های در نظر گرفته شده در این قانون حتی در صورت جابجایی مکان داده‌ها نیز باید اجرایی و تضمین شوند.

غول‌های فناوری بخش مهمی از جریان داده بین آمریکا و اتحادیه اروپا را تشکیل می‌دهند و به همین دلیل سال‌ها است که در این جدال گرفتار شده‌اند. مدل‌های تجاری این شرکت‌ها مبتنی بر استخراج داده است (و در نتیجه به داده‌های شخصی دسترسی دارند) و به همین دلیل تحت نظر قوانین حریم خصوصی قرار می‌گیرند.

آلید ولفسن،‌ رئیس نهاد نظارت بر حریم خصوصی هلند، نوشت: «در اروپا، GDPR با الزام اداره درست داده‌های خصوصی بر دولت‌ها و کسبو‌کارها، از حقوق بنیادی افراد محافظت می‌کند. اما متاسفانه در خارج از اروپا این مساله مشهود نیست. دولت‌هایی را که می‌توانند از داده‌های گسترده استفاده کنند را در نظر بگیرید. به همین دلیل است که کسب‌وکارها معمولا متعهد می‌شوند تا در صورت ذخیره داده‌های شخصی اروپاییان خارج از اتحادیه اروپا، تمهیدات بیشتری را در نظر بگیرند. اوبر پیش‌نیازهای در نظر گرفته شده در GDPR را برای تضمین سطح مشابهی از محافظت داده‌ها در ایالات متحده رعایت نکرده است. مساله بسیار جدی است.»

شکایت‌های مطرح شده علیه اوبر مربوط به دوره‌ای است که هنوز اروپا و آمریکا برسر چارچوب انتقال داده با یکدیگر به توافق کامل نرسیده بودند. دادگاه ارشد اروپا در جولای ۲۰۲۰ برعلیه مکانیزیمی به نام سپر حریم خصوصی (Privacy Sheild) رای داد. هزاران شرکت برای انتقال داده‌های خود از این مکانیزم استفاده می‌کردند.

همچنین تا جولای ۲۰۲۳ زمان برد تا اتحادیه اروپا و آمریکا بر سر یک سازوکار جدید انتقال داده به توافق برسند و در نتیجه در این دوره سه ساله یک سری ابهامات قانونی در حوزه صادارت داده وجود داشت.

از این رو در همین دوره شرکت‌های دیجیتال به دلیل ماهیت کسب‌وکارشان بیش از حد در معرض خطر قرار گرفتند. اوبر تنها شرکتی نیست که در نتیجه اقدامات همین دوره جریمه می‌شود:‌شرکت متا در ماه مه ۲۰۲۳ با جریمه بی‌سابقه ۱.۲ میلیارد دلاری مواجه شد. چندین سازمان نظارت بر حریم خصوصی درمورد استفاده از گوگل آنالیتیک نیز هشدار داده‌اند.

در پرونده اوبر، اداره حریم خصوصی هلند اعلام کرد که این شرکت اطلاعات «حساس» راننده‌ها را جمع‌آوری و منتقل کرده است که در آن جزئیات حساب، جواز تاکسی، داده مکانی، تصاویر،‌جزئیات پرداخت، مستندات هویتی و در برخی موارد حتی داده‌های سابقه مجرمانه و درمانی را نیز وجود داشته است.

اوبر هرگونه نقض قوانین را رد کرده و می‌گوید علیه رای صادره اعتراض می‌کند و می‌گوید در دوره ۳ ساله نبود قطعیت نیز از الزامات GDPR پیروی کرده است.

با این حال به گفته AP، اوبر از اواخر سال گذشته و پس از گذار از مکانیزم سپر حریم خصوصی، پرو قوانین بوده است. اوبر مدعی است که فرایند‌های فعلی که پروی چارچوب انتقال داده محسوب می‌شوند، پیش از این هم وجود داشته‌اند.

رگولاتورها پیش از این و در دوره ابهام قانونی و پیش از قرارداد اروپا و آمریکا هشدار داده بودند که شرکت‌ها مسئولیت محافظت از داده‌های خارج شده از اتحادیه اروپا را برعهده دارند و دستورالعملی از سوی اتحادیه اروپا برای تمهیدات اضافی در اختیار شرکت‌ها قرار گرفت.