オランダのデータ保護局(DPA)は、ウーバーが過去2年以上にわたり欧州のドライバーの個人データを適切な保護措置をとらないまま、米国のサーバーへ移転していたことを確認したと発表した。データの中には、ドライバーの身分証明書や位置情報などに加え、犯罪や医療関連の情報が含まれているケースもあったとされる。
DPAは、ウーバーのこの慣行がEUのGDPRに違反したと指摘した。ブルームバーグによると、2億9000万ユーロの制裁金は、オランダのDPAがこれまで科した中で最大の制裁金であり、ウーバーがこれまで世界に直面した中で最大の制裁金という。
ウーバーは、ブルームバーグの取材にこの措置が「まったく正統性を欠いている」と主張し、控訴する構えを見せている。
オランダのDPAの議長のアレイド・ウォルフセンは声明で、「欧州においては、GDPRの規則で企業や政府が個人データを慎重に扱うことが求められている。企業がEU圏外で欧州の人々の個人データを保管する場合は、追加の措置を講じる義務がある」と述べ、ウーバーの違反が非常に重大だと指摘した。
オランダのDPAは、今年初めにウーバーのドライバーの個人データの取り扱いが適切ではなかったとして、1000万ユーロの罰金を科していた。DPAはまた、ウーバーのドライバーが個人データへのアクセスを要求する場合に直面するプロセスが「不必要に複雑」だとも指摘していた。
オランダの当局がウーバーに科した2つの制裁金は、いずれもフランスの170人のドライバーからの苦情を受けて開始した調査に基づいている。この調査は、ウーバーのEUでの事業がオランダに本社を置いていることから、フランスの当局からオランダのDPAに引き継がれていた。GDPRに違反した企業は、最大で年間の世界収益の4%の罰金に直面する可能性がある。
(forbes.com 原文)