تم تغريم منصة نقل الركاب أوبر مبلغ 290 مليون يورو – حوالي 324 مليون دولار بأسعار الصرف الحالية – من قبل هيئة مراقبة الخصوصية الهولندية لانتهاكها اللائحة العامة لحماية البيانات للاتحاد الأوروبي (GDPR).
وتتعلق العقوبة بنقل البيانات الشخصية للسائقين من الاتحاد الأوروبي إلى الولايات المتحدة، حيث يقع العمل الرئيسي لشركة أوبر. يسمح القانون العام لحماية البيانات (GDPR) بفرض غرامات تصل إلى 4% من إجمالي المبيعات السنوية العالمية لعدم الامتثال.
بلغت إيرادات أوبر للعام بأكمله لعام 2023 حوالي 34.5 مليار يورو – وبالتالي فإن مستوى العقوبة أقل بكثير من هذا الحد الأقصى. ومع ذلك، لا يزال هذا المبلغ ملحوظًا لأنه من بين أكبر العقوبات المفروضة على شركة تكنولوجيا منذ أن بدأ القانون العام لحماية البيانات (GDPR) العمل في عام 2018.
الغرامة هي نتيجة سلسلة من الشكاوى المقدمة من أكثر من 170 سائقًا من سائقي أوبر في فرنسا في عام 2021. وتتولى الهيئة التنظيمية الهولندية، Autoriteit Persoonsgegevens (أو AP)، مسؤولية الإشراف على القانون العام لحماية البيانات (GDPR) على أوبر حيث أن الشركة لديها مؤسستها الرئيسية في الاتحاد الأوروبي في البلاد. وحققت في الشكاوى المتعلقة بكيفية معالجة الشركة للبيانات الشخصية للسائقين. تم تقديم الشكاوى من خلال منظمة حقوق الإنسان، Ligue des droits de l’Homme (LDH)، إلى هيئة مراقبة الخصوصية الفرنسية ثم تم تمريرها إلى وكالة الأسوشييتد برس.
وفي يناير/كانون الثاني، تم تغريم شركة أوبر بمبلغ 10 ملايين يورو بسبب حقوق الوصول إلى البيانات المتعلقة بنفس الشكاوى. لكن الغرامة الجديدة التي تم الإعلان عنها يوم الاثنين تفوق العقوبة السابقة، مما يضعها في مكان جديد على قائمة عمالقة التكنولوجيا الذين فرض عليهم أكبر عشر غرامات بموجب اللائحة العامة لحماية البيانات، أي أقل بقليل من منتصف الجدول.
يعكس حجم العقوبة خطورة الانتهاك، وفقًا لوكالة أسوشييتد برس، التي كتبت في بيان صحفي أن أوبر فشلت في “الحماية المناسبة” للبيانات التي نقلتها خارج الاتحاد الأوروبي – واصفة ذلك بأنه “انتهاك خطير”.
تتعلق مشكلة حماية البيانات ببرامج المراقبة التابعة لوكالة الاستخبارات الأمنية الوطنية الأمريكية، والتي وجدت المحاكم في أوروبا مراراً وتكراراً – في أعقاب التسريبات التي كشف عنها إدوارد سنودن، المبلغ عن مخالفات وكالة الأمن القومي في عام 2013 – أنها تشكل خطراً على حماية البيانات وحقوق الخصوصية لمواطني الاتحاد الأوروبي. هذه مشكلة لأنه من المفترض أن تنتقل إجراءات حماية القانون العام لحماية البيانات (GDPR) مع بيانات الأوروبيين.
وكانت شركات التكنولوجيا الأمريكية العملاقة، المسؤولة عن قيادة جزء كبير من تدفقات البيانات بين الاتحاد الأوروبي والولايات المتحدة، عالقة في وسط هذا الصدام لسنوات. نماذج الأعمال التي تعتمد على استخراج البيانات (وبالتالي الوصول إلى البيانات الشخصية بشكل واضح) معرضة أيضًا بشكل خاص للمخاطر القانونية المتعلقة بالخصوصية.
“في أوروبا، يحمي القانون العام لحماية البيانات الحقوق الأساسية للأشخاص، من خلال مطالبة الشركات والحكومات بالتعامل مع البيانات الشخصية بالعناية الواجبة. لكن للأسف، هذا ليس واضحا خارج أوروبا». “فكر في الحكومات التي يمكنها الاستفادة من البيانات على نطاق واسع. ولهذا السبب عادة ما تكون الشركات ملزمة باتخاذ تدابير إضافية إذا قامت بتخزين البيانات الشخصية للأوروبيين خارج الاتحاد الأوروبي. لم تستوف شركة أوبر متطلبات اللائحة العامة لحماية البيانات لضمان مستوى الحماية للبيانات فيما يتعلق بالتحويلات إلى الولايات المتحدة. وهذا أمر خطير للغاية.”
تم تقديم الشكاوى ضد أوبر خلال فترة لم يكن هناك إطار عمل رفيع المستوى لنقل البيانات متفق عليه بين الاتحاد الأوروبي والولايات المتحدة. وفي يوليو/تموز 2020، ألغت المحكمة العليا في الاتحاد الأوروبي آلية تُعرف باسم “درع الخصوصية” (Privacy Shield) التي كانت الشركة، وآلاف الشركات الأخرى، تعتمد عليها للسماح بتصدير بياناتها.
لم يتم الاتفاق على صفقة جديدة لنقل البيانات بين الاتحاد الأوروبي والولايات المتحدة واعتمادها حتى يوليو 2023 – مما يعني أن هناك فترة ثلاث سنوات تتسم بدرجة عالية من عدم اليقين القانوني بشأن عمليات تصدير البيانات.
وقد تعرضت الشركات الرقمية بشكل خاص خلال هذه الفترة، نظرا لطبيعة أعمالها القائمة على البيانات. وأوبر ليست شركة التكنولوجيا العملاقة الوحيدة التي تعرضت للصدمة: فقد تعرضت شركة Meta لعقوبة قياسية بموجب القانون العام لحماية البيانات بقيمة 1.2 مليار يورو في مايو 2023 بسبب نفس المشكلة الأساسية. كما حذر العديد من DPAs من استخدام Google Analytics.
وفي حالة أوبر، قالت وكالة حماية البيانات الهولندية إن البيانات التي جمعتها وصدرتها تضمنت معلومات “حساسة” للسائق، بما في ذلك تفاصيل الحساب، وتراخيص سيارات الأجرة، وبيانات الموقع، والصور، وتفاصيل الدفع، ووثائق الهوية، وفي بعض الحالات حتى البيانات الجنائية والطبية للسائقين.
“لمدة تزيد عن عامين، قامت شركة أوبر بنقل هذه البيانات إلى المقر الرئيسي لشركة أوبر في الولايات المتحدة، دون استخدام أدوات النقل. ولهذا السبب، لم تكن حماية البيانات الشخصية كافية”.
أوبر ليست سعيدة بالعقوبة. وتنفي أي عدم امتثال وتعهدت بتقديم استئناف ضد التنفيذ أمام المحكمة.
أرسل المتحدث باسم أوبر كاسبار نيكسون عبر البريد الإلكتروني إلى TechCrunch بيانًا كتبت فيه الشركة: “هذا القرار المعيب والغرامة غير العادية غير مبررين على الإطلاق. كانت عملية نقل البيانات عبر الحدود الخاصة بشركة Uber متوافقة مع اللائحة العامة لحماية البيانات (GDPR) خلال فترة 3 سنوات من عدم اليقين الهائل بين الاتحاد الأوروبي والولايات المتحدة. سوف نستأنف ونظل واثقين من أن المنطق السليم سيسود”.
تدعي الشركة أنها طلبت التوجيه من وكالة الأسوشييتد برس خلال الفترة التي لم تكن هناك صفقة رفيعة المستوى لنقل البيانات بين الاتحاد الأوروبي والولايات المتحدة، لكنها تقول إن الهيئة التنظيمية لم تزودها بأي وضوح بشأن وجود مشاكل في عملياتها.
تشير وكالة أسوشييتد برس إلى أن أوبر كانت ممتثلة منذ نهاية العام الماضي عندما بدأت في استخدام خليفة Privacy Shield. تدعي أوبر أن العمليات التي تعتبر الآن متوافقة مع إطار نقل البيانات الجديد هذا هي نفس العمليات التي استخدمتها من قبل. لذا، فإن حجتها في الأساس هي أن الأهداف القانونية قد تحركت.
ومع ذلك، خلال الفترة التي لم تكن هناك صفقة نقل رفيعة المستوى بين الاتحاد الأوروبي والولايات المتحدة، حذر منظمو الخصوصية في الكتلة الشركات من أنهم مسؤولون عن ضمان امتثال أي عمليات تصدير للبيانات للقواعد.
قدمت إرشادات المجلس الأوروبي لحماية البيانات من هذه الفترة معلومات عن التدابير الإضافية التي قال مشرف البيانات إن الشركات قد تحتاج إلى تطبيقها لرفع مستوى الحماية على صادرات البيانات لضمان امتثال تدفقات البيانات الخاصة بها للقانون العام لحماية البيانات – مثل التحول إلى توطين البيانات أو تطبيق نماذج تشفير “صفر وصول” يعني أنه لا يمكن الوصول إلى البيانات المصدرة.
ولم يتمكن المتحدث باسم أوبر من التأكيد على الفور ما إذا كانت الشركة قد طبقت أي إجراءات إضافية من هذا القبيل خلال هذه الفترة.
