Cơ quan giám sát bảo vệ dữ liệu của Hà Lan (DPA) cho biết việc chuyển dữ liệu là vi phạm nghiêm trọng quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU), không bảo vệ thông tin tài xế một cách phù hợp.
Chủ tịch DPA Aleid Wolfsen cho biết Uber đã không đáp ứng các yêu cầu của GDPR để đảm bảo mức độ bảo vệ dữ liệu liên quan đến việc chuyển dữ liệu sang Mỹ, đồng thời đánh giá đây là lỗi "rất nghiêm trọng".
Theo DPA, Uber đã thu thập thông tin nhạy cảm của tài xế châu Âu, bao gồm giấy phép lái taxi, dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân, và trong một số trường hợp thậm chí cả dữ liệu phạm tội và y tế của tài xế.
DPA cho biết trong khoảng thời gian hai năm, thông tin đã được chuyển đến trụ sở chính của Uber tại Mỹ mà không sử dụng các công cụ chuyển dữ liệu. Vì lý do này, DPA đánh giá việc bảo vệ dữ liệu cá nhân là không đủ. Điều này cấu thành hành vi vi phạm nghiêm trọng quy định bảo vệ dữ liệu chung.
Đáp trả lại cáo buộc, người phát ngôn của Uber Caspar Nixon nói với Reuters rằng quyết định phạt là sai lầm và khoản tiền phạt lớn như vậy hoàn toàn không có cơ sở.
Ông nhấn mạnh quy trình chuyển dữ liệu xuyên biên giới của Uber đã tuân thủ quy định bảo vệ dữ liệu chung của EU trong giai đoạn ba năm bất ổn giữa EU và Mỹ, đồng thời cho biết công ty sẽ kháng cáo lên DPA.
Nếu không thành công, công ty có thể đệ đơn kiện lên tòa án Hà Lan. Theo DPA, quá trình kháng cáo dự kiến sẽ mất khoảng bốn năm và mọi khoản tiền phạt đều sẽ bị đình chỉ cho đến khi các biện pháp pháp lý được sử dụng hết.