Boete van 10 miljoen euro voor Uber wegens gebrek aan transparantie

Klachten zijn voldoende aanleiding voor onderzoek

De aanleiding voor de AP om onderzoek te verrichten, was een grote hoeveelheid klachten van chauffeurs uit Frankrijk. De chauffeurs klopten met hun klachten aan bij de LDH, een Franse mensenrechtenorganisatie. Deze klachten werden doorgestuurd naar de AP, omdat het Europese hoofdkantoor van Uber in Nederland is gevestigd.

Vastgestelde overtredingen

De chauffeurs merkten dat het erg ingewikkeld was om verzoeken in te dienen om hun gegevens in te zien. Het digitaal formulier waarmee inzage kon worden gevraagd, was door Uber bijvoorbeeld niet eenvoudig te vinden en niet toegankelijk gemaakt. Chauffeurs moesten lang zoeken in de chauffeurs-app, voordat zij bij het juiste formulier terechtkwamen. De AP stelde een onderzoek in naar aanleiding van deze klachten en constateerde in haar rapport vijf concrete overtredingen van de Algemene Verordening Gegevensbescherming (AVG). Naast de ingewikkelde procedure voor een inzageverzoek constateerde de AP nog vier andere overtredingen.

Zo verwerkte Uber de inzageverzoeken op een verwarrende manier door informatie in een ongestructureerd bestand te plaatsen. Ook was het afschrift van de persoonsgegevens niet in een begrijpelijke taal aangeleverd. Daarnaast ontbrak het in de privacyverklaring aan duidelijke informatie over hoe lang persoonsgegevens bewaard blijven en welke beschermingsmaatregelen worden genomen bij de doorgifte van gegevens naar landen buiten de EER. Tot slot heeft Uber verzuimd om het recht op gegevensoverdraagbaarheid expliciet in haar privacyverklaring op te nemen. De AP stelt op grond hiervan overtredingen van artikel 12, 13 en 15 van de AVG vast.

Het is dus belangrijk om op juiste wijze binnen jouw organisatie:

• personen de mogelijkheid geven om persoonsgegevens – op toegankelijke wijze – in te kunnen zien;
• persoonsgegevens op gestructureerde én begrijpelijke wijze te verwerken;
• een volledige privacyverklaring op te stellen en te gebruiken en daarin alle wettelijk vereiste gegevens op te nemen.

En zorg er dan ook voor dat je zoals in onze blog vermeld staat laat zien dat je aan de privacywet voldoet!

Boetebepaling en reactie van Uber

Bij het vaststellen van de boete keek de AP naar de omvang van de onderneming en de ernst van de overtredingen. Zo noemt de AP het belang van betrokkenen om op grond van de AVG gebruik te kunnen maken van hun inzagerechten en dat daarvoor geen onredelijke drempels mogen worden opgeworpen. De AP constateert dat tijdens de overtredingen ongeveer 120.000 chauffeurs actief waren in Europa.

Betreffende de toegankelijkheid van het formulier voor inzageverzoeken oordeelt de AP dat Uber niet voldoet aan de eisen. De AVG verlangt dat de verwerkingsverantwoordelijke de uitoefening van het inzagerecht faciliteert, en volgens de AP heeft Uber door de opzet van haar systeem een te hoge drempel opgeworpen voor betrokkenen, waarmee het bedrijf onvoldoende ondersteuning biedt.

De AP erkent dat er inmiddels de nodige verbeteringen zijn doorgevoerd door Uber.

Voor juridische ondersteuning en advies over AVG-naleving

Dommerholt Advocaten staat klaar om te helpen met al jouw vragen en uitdagingen met betrekking tot de Algemene Verordening Gegevensbescherming. Of het nu gaat om het opstellen van een privacyverklaring, het beoordelen van gegevensverwerkingsprocessen of het bieden van juridisch advies over complexe AVG-kwesties: onze privacyrecht specialisten zijn graag jouw juridisch sparringpartner.