Uber, Veri Gizlilik İhlalleri İçin 290 Milyon Euro Ceza Aldı

Uber, bugün Hollanda Veri Koruma Kurumu (DPA) tarafından Avrupa sürücülerinin kişisel verilerini yasadışı bir şekilde Amerika’ya aktarması ve Avrupa Birliği (AB) düzenlemelerini ihlal etmesi nedeniyle 290 milyon Euro ($324 milyon) para cezasına çarptırıldı.

Bu ceza, AB içindeki bireylerin gizliliğini korumayı hedefleyen Genel Veri Koruma Yönetmeliği (GDPR)’nin uygulanması sonucu geldi.

Basın bülteninde, DPA, Uber’ın eylemlerinin GDPR’yi “ciddi bir şekilde ihlal” ettiğini belirtiyor, çünkü şirket Avrupa’daki sürücülerinin hassas bilgilerini yeterince koruyamamış.

Raporlara göre, aktarılan veriler arasında kimlik belgeleri, taksicilik lisansları, konum verileri, ödeme detayları ve bazı durumlarda hatta suç ve tıbbi kayıtlar bile bulunuyor.

Basın açıklamasında, DPA, Uber’in bu verileri gereken güvenlik önlemleri alınmadan iki yıldan fazla bir süre boyunca ABD merkezine aktardığını belirtti. Bu koruma eksikliği, AB’nin Adalet Divanı’nın 2020’de AB-ABD Gizlilik Kalkanını geçersiz kılmasına rağmen meydana geldi.

Basın bülteni ayrıca, Standart Sözleşmeli Maddeler‘in AB dışına veri aktarımı için geçerli bir alternatif olarak önerildiğini ancak bu maddelerin, uygulamada eşdeğer bir veri koruma düzeyinin sağlanmasını gerektirdiğini belirtiyor. DPA, Uber’in bunu başaramadığını iddia ediyor.

Uber, ancak, karara şiddetle katılmıyor. “Bu hatalı karar ve olağanüstü ceza tamamen haksız,” Uber sözcüsü Caspar Nixon, bir e-postada Reuters’a söyledi.

Nixon, Uber’in veri transfer süreçlerinin, AB ve ABD arasındaki hukuki belirsizliklerle dolu zorlu üç yıl boyunca GDPR’ye uygun olduğunu savundu. Ayrıca şirketin karara itiraz etmeyi planladığını ve “sağduyunun galip geleceğine” dair güvenini ifade etti.

Endüstrideki diğerleri cezayı eleştirdi. “Dünyanın en yoğun internet rotası, hükümetlerin bu veri akışları için yeni bir hukuksal çerçeve oluşturmak üzere çalışırken, tam üç yıl boyunca basitçe askıya alınamazdı,” diyor Bilgisayar ve İletişim Endüstrisi Derneği’nin politika şefi Alexandre Roure, (CCIA) açıklamasında.

Roure ayrıca, cezanın üzerindeki endişesini de dile getiriyor ve “veri koruma otoritelerinin geriye dönük cezaları, özellikle bu dönemde önemli hukuki belirsizlikler yaşanırken bu gizlilik denetçilerinin yardımcı bir rehberlik sağlayamaması nedeniyle özellikle endişe vericidir.” diye belirtiyor.

Bu cezaya yol açan soruşturma, 170’in üzerinde taksi şoförü adına bir şikayet dosyalayan Fransız insan hakları örgütünün ardından başladı. Uber’in Avrupa merkezi Hollanda’da bulunduğu için, dava Hollanda DPA’ya aktarıldı.

Bu, Uber’in DPA’dan ceza aldığı ilk zaman değil, daha önce 2018’de 600.000 € ve 2023’te diğer GDPR ihlalleri için 10 milyon € para cezası uygulamıştı.