Het is alweer de derde boete van de Autoriteit Persoonsgegevens (AP) aan Uber. Met een recordbedrag van € 290 miljoen geeft de AP een duidelijk signaal af dat de onrechtmatige internationale doorgifte van persoonsgegevens een groot risico kan zijn. Het gaat om de periode dat het Privacy Shield ongeldig was verklaard en het nieuwe adequaatheidsbesluit, het EU-U.S. Data Privacy Framework, er nog niet was. Hoewel het waarschijnlijk is dat meer bedrijven in die periode niet AVG-compliant persoonsgegevens hebben doorgegeven, is dit Uber duur komen te staan. In deze blog zullen wij ingaan op enkele punten uit dit boetebesluit.
Aanleiding onderzoek
Uber verwerkt persoonsgegevens van chauffeurs op servers van Uber Technologies Inc. (UTI) in de VS. Het gaat hier onder andere over gevoelige persoonsgegevens, zoals identiteitsbewijzen en taxilicenties. Deze verwerking werd onder de loep genomen nadat 172 Franse chauffeurs een klacht indienden bij de Franse privacy toezichthouder (CNIL). De klacht volgde op de SCHREMS II-uitspraak van het Europese Hof van Justitie, die het Privacy Shield ongeldig verklaarde (zie ook onze eerdere blog hierover). De AP heeft als leidende toezichthouder onderzoek gedaan en vastgesteld dat Uber de AVG heeft geschonden door persoonsgegevens door te geven naar de VS zonder de vereiste waarborgen uit Hoofdstuk V AVG te bieden.
Feiten en juridische beoordeling
Na de Schrems II-uitspraak was er veel onduidelijk over internationale doorgifte van persoonsgegevens. Veel bedrijven, net als Uber, baseerden hun doorgifte naar de VS op het doorgiftemechanisme ‘Standard Contractual Clauses’ (SCC's). In 2021 besloot Uber dat SCC's niet (meer) nodig waren, omdat de Europese Commissie (EC) in haar FAQ had verklaard dat de SCC’s niet van toepassing zouden zijn als de verwerking onder de AVG valt. Dit is voor UTI het geval. Uber dacht daarom dat er bij de doorgifte van gegevens aan UTI geen sprake was van internationale doorgifte in de zin van Hoofdstuk V AVG. Het van toepassing zijn van (artikel 3) AVG op UTI zou al voldoende bescherming bieden. Volgens Uber was Hoofdstuk V AVG niet relevant omdat dit hoofdstuk bedoeld zou zijn voor situaties die buiten de reikwijdte van artikel 3 AVG vallen. Het toepassen van beide hoofdstukken tegelijk zou volgens Uber overbodig zijn en in strijd met internationale verplichtingen, zoals de WTO-Overeenkomst en het GATS-akkoord.
De AP is het daar niet mee eens en oordeelt dat Uber (artikel 44 van) de AVG heeft overtreden, omdat Uber vanaf 6 augustus 2021 tot 27 november 2023 persoonsgegevens naar de VS heeft gestuurd zonder een geldig adequaatheidsbesluit of passende waarborgen. Uber had uit de verklaring van de EC niet mogen afleiden dat SCC’s of andere doorgifte-instrumenten niet gebruikt hoeven te worden als de verwerking (naar Ubers zeggen) onder artikel 3 AVG valt.
Daarnaast merkt de AP op dat er tussen artikel 3 en Hoofdstuk V AVG belangrijke verschillen bestaan en dat artikel 3 AVG niet prevaleert boven Hoofdstuk V. Artikel 3 AVG bepaalt het territoriale toepassingsgebied van de AVG. Hoofdstuk V AVG regelt de bescherming van persoonsgegevens bij doorgiften naar derde landen en vereist passende waarborgen om een gelijkwaardig beschermingsniveau als binnen de EER te waarborgen. Beide zijn noodzakelijk om te voorkomen dat de bescherming van persoonsgegevens wordt omzeild. De AP benadrukt dat artikel 3 en Hoofdstuk V AVG niet elkaar uitsluiten, maar elkaar aanvullen. Het is volgens de AP essentieel dat beide bepalingen samen worden toegepast om de volledige bescherming te bieden die de AVG vereist.
Uitzondering van artikel 49 AVG?
Uber probeerde met een beroep op de uitzonderingen van artikel 49 AVG nog tevergeefs tot een rechtmatige doorgifte te komen. De AP merkt op dat de doorgiften niet incidenteel zijn en daarom niet onder deze uitzonderingen vallen. Artikel 49 AVG is bedoeld voor incidentele doorgiften; het geldt niet voor systematische en repetitieve doorgiften. Bovendien kan Uber geen beroep doen op deze bepalingen omdat de doorgiften niet noodzakelijk zijn voor het uitvoeren van een overeenkomst tussen Uber en de betrokkene, of tussen Uber en een derde.
Conclusie
De AP komt tot de conclusie dat Uber niet aan de vereisten van Hoofdstuk V AVG voor de internationale doorgifte aan de VS heeft voldaan. Deze onrechtmatige doorgifte is door Uber op 27 november 2023 beëindigd door certificering onder het EU – US Data Privacy Framework. Door de certificering kan Uber nu terugvallen op dit adequaatheidsbesluit.
Goed om te weten: op https://www.dataprivacyframework.gov/s/participant-search is eenvoudig te controleren of een partij gecertificeerd is.
Heeft u vragen naar aanleiding van deze blog of heeft u andere vragen, neemt u dan gerust vrijblijvend contact op met Floortje Eijdems, Fatma Pamuk of met één van de andere leden van het Privacy-team.
