Transporttjenesten Uber modtog tidligere på ugen en enorm GDPR-bøde på 2,2 milliarder kroner for at overføre chaufførers data fra EU til USA.
Disse overførsler er sket i en periode, efter Privacy Shield blev lagt i graven efter Schrems II-dommen, men før Digital Privacy Framework blev vedtaget.
Derfor var der i praksis ikke en gyldig dataoverførselsaftale mellem EU og USA mellem sommeren 2020 og sommeren 2023.
Derfor er bøden stærkt kritisabel, fordi overførslerne fra Uber skete i perioden 2021 til 2022, mener organisationen Computer & Communications Industry Association (CCIA Europe).
CCIA mener ikke, at virksomhederne har haft en chance for at undgå bøder i den periode, hvis dette er linjen. Derfor åbner denne beslutning Pandoras æske på bødefronten, hvis virksomheder skal til at have bøder med tilbagevirkende kraft.
”I denne periode havde ikke-EU-virksomheder, der allerede er underlagt GDPR, stort set intet juridisk grundlag for at flytte data til USA,” skriver CCIA i en pressemeddelelse.
Organisationen mener, at europæiske og amerikanske virksomheder stod uden klare retningslinjer efter Schrems II-dommen, og CCIA mener også, at interne uenigheder mellem EU-Kommissionen og databeskyttelsesmyndighederne skabte forvirring om brug af standardkontraktklausuler.
”Kommissionen udelukkede på sin side brugen af såkaldte standardkontraktklausuler for ikke-EU-virksomheder, der allerede er underlagt europæiske databeskyttelsesregler,” meddeler organisationen.
En af grundene til, at Uber har fået bøden var, at selskabet ikke benyttede standardkontraktklausuler (SCC’er) som juridisk grundlag, men CCIA mener, at der var uklarhed om disse kontrakter.
CCIA er stærkt bekymret for den nye dom, da det efterlader virksomheder i et treårigt juridisk tomrum.
”Hvis databeskyttelsesmyndighederne nu pludselig begynder at bøde virksomheder med tilbagevirkende kraft for dataoverførsler i perioden efter Schrems II, ville de reelt gøre den måde, hvorpå hele internettet fungerede i næsten tre år, ulovlig,” meddeler CCIA.
Dette kan blive et problem for en lang række virksomheder, lyder det.
"Det faktum, at den hollandske databeskyttelsesmyndighed i dag besluttede at udstede en massiv bøde til en teknologivirksomhed for datastrømme mellem EU og USA, der skete tilbage i 2021, ignorerer virkeligheden. Den travleste internetrute i verden kunne ikke bare sættes i bero i hele tre år, mens regeringerne arbejdede på at etablere en ny juridisk ramme for disse datastrømme," udtaler CCIA Europes politikchef, Alexandre Roure, i meddelelsen og fortsætter:
"Enhver bøder med tilbagevirkende kraft fra databeskyttelsesmyndighederne er særligt bekymrende i betragtning af, at netop disse privatlivsvagthunde ikke formåede at give nyttig vejledning i denne periode med betydelig juridisk usikkerhed, i mangel af nogen klar juridisk ramme."
Uber-sagens baggrund
Bekymringerne udspringer af mandagens afgørelse, hvor den hollandske databeskyttelsesmyndighed De Autoriteit Persoonsgegevens (AP) har tildelt Uber en bøde på 290 millioner euro, hvilket svarer til omkring 2,2 milliarder danske kroner.
Den hollandske myndighed startede undersøgelsen af Uber, efter at mere end 170 franske Uber-chauffører klagede til den franske menneskerettighedsorganisation Ligue des droits de l'Homme (LDH), som efterfølgende indgav en klage til den franske databeskyttelsesmyndighed.
Den franske myndighed videresendte klagerne til den hollandske myndighed, fordi Uber har europæisk hovedkvarter i Holland.
Den hollandske myndighed fandt, at Uber indsamlede følsomme oplysninger om chauffører fra Europa og opbevarede dem på servere i USA.
Det omhandler for eksempel kontooplysninger og taxilicenser, men også lokationsdata, fotos, betalingsoplysninger, identitetsdokumenter og endda i nogle tilfælde kriminaljournaler og medicinske data om chaufførerne.
Det skriver den hollandske myndighed i en meddelelse.
Problemet for Uber i denne sag er, at Uber har overført disse data i perioden efter den gamle dataoverførselsaftale Privacy Shield blev ophævet i 2020, men inden den nye aftale DPF trådte i kraft i 2023.
Samtidig benyttede Uber ingen juridiske værktøjer til at retfærdiggøre overførslerne. Ifølge dommen kunne standardkontraktbestemmelser (SCC’er) udgøre et gyldigt grundlag for overførsel af data til lande uden for EU, men kun hvis et tilsvarende beskyttelsesniveau kan garanteres i praksis.
Eftersom Uber ikke længere brugte standard kontraktklausuler fra august 2021, var data fra chauffører fra EU utilstrækkeligt beskyttet.
Bøden svarer til næsten en procent af Ubers omsætning.
Beslutningen om bøden møder kritik fra internetorganisationen CCIA, som frygter, at der nu åbnes for en stor portion sager fra den tid, hvor der ikke var en gyldig aftale for dataoverførsler.
Uber har netop meddelt et comeback til det danske marked i samarbejde med taxiselskabet Drivr. Fra starten af 2025 kan man bestille på Uber-appen i Danmark, men det vil være en normal taxa, der dukker op ved bestillingen, det skriver DR.