Valus õppetund: Uber sai hiigeltrahvi Euroopa taksojuhtide isikuandmete edastamise eest

Advokaadibüroo Hedman isikuandmete kaitse ekspert Andres Ojaver selgitas, et Uber edastas Euroopa taksojuhtide isikuandmeid Ameerika Ühendriikidesse ega taganud seaduses ettenähtud kaitsemeetmeid.

„Madalmaade andmekaitseasutus alustas uurimist pärast seda, kui ligi 200 sõidukijuhti esitasid kaebuse ning kontroll tuvastaski rikkumise nii andmete säilitamisel kui ka edastamisel. Hiigeltrahv Uberile annab taas aimu, kui oluline on isikuandmete rahvusvahelisel edastamisel järgida GDPR-i reegleid,“ kommenteeris Ojaver. Hollandi andmekaitseasutuse sõnul on tegemist tõsise GDPR-i rikkumisega ning trahviotsust ei mõjutanud ka see, et rikkimine lõpetati.

Sarnase rikkumise eest määrati 2023. aastal ka seni suurim GRPR-trahv ehk 1,2 miljardit eurot Metale. Facebooki emaettevõtet süüdistati toona Euroopa Liidu kodanike andmete edastamises USA-sse ilma piisava kaitseta.

Trahviotsusest selgub, et lisaks kogus Uber muu hulgas Euroopa taksojuhtide tundlikke andmeid ja säilitas neid USA-s asuvates serverites. „Näiteks koguti ja säilitati sellist infot nagu kontoandmed, isikut tõendavate dokumentide koopiad, taksoload, asukohaandmed, fotod ja makseandmed. Mõnel juhul oli Uberil teada ka juhtide karistus- ja terviseandmed, millest viimased on eriliigilised isikuandmed,“ tõi Ojaver välja. Ka neid andmeid edastas Uber üle kahe aasta oma peakorterisse USA-s.

Hollandi andmekaitseasutus tõi oma otsuses välja, et kuna Uber ei kasutanud alates 2021. aasta augustist GDPR-is ettenähtud lepingu tüüptingimusi ega ka muid kaitsemeetmeid, ei olnud Euroopa Liidust pärit juhtide andmed piisavalt kaitstud.

GDPR näeb maksimaalse trahvisummana ette 4% ettevõtte aastasest ülemaailmsest käibest ning Uberi käive oli 2023. aastal ligikaudu 34,5 miljardit eurot. „Sellest lähtuvalt on ka seekordne trahvisumma märkimisväärselt suur. Uberi jaoks on aga tegemist koguni kolmanda trahviga, mille Hollandi andmekaitseasutus neile määrab,“ sõnas Andres Ojaver.

2018. aastal sai Uber 600 000 eurot trahvi ja 2023. aastal 10 miljonit eurot. Uber on omakorda teatanud kavatsusest tänavune rekordtrahv vaidlustada.

Hedmani isikuandmete kaitse ekspert selgitab, et Euroopas kaitseb GDPR inimeste põhiõigust eraelu puutumatusele, nõudes ettevõtetelt ja riigiasutustelt isikuandmete hoolikat käitlemist. „Paraku ei ole see väljaspool Euroopat enesestmõistetav ning nii näiteks saavad teiste riikide valitsusasutused kasutada isikuandmeid suures ulatuses liiga lihtsasti. Seetõttu on ettevõtted kohustatud võtma lisameetmeid, kui nad säilitavad eurooplaste isikuandmeid väljaspool Euroopa Liitu või Euroopa Majanduspiirkonda,“ rõhutas Ojaver ning lisas, et nagu otsusest näha, on Euroopa Liidu järelevalveasutused valmis oma kodanike põhiõiguste kaitseks otsustavalt välja astuma. „Näiteks ka Eesti ettevõtetel on väga oluline selgeks teha, kas ja millises ulatuses nende klientide isikuandmed Euroopa Liidust välja liiguvad ning kas sellises olukorras rakendatakse vastavaid GDPR-i reegleid,“ võttis Ojaver kokku.