Met het recente boetebesluit van de Autoriteit Persoonsgegevens (AP) van 11 december 2023 geeft de toezichthouder een duidelijk signaal af “Neem de privacy rechten van de betrokkenen serieus en regel het goed, niet een beetje goed”.
De AP heeft Uber een boete opgelegd van € 10 miljoen vanwege overtredingen van de AVG met betrekking tot transparantie. Uber heeft artikel 12 van de AVG overtreden (dat gaat over het verstrekken van transparante informatie en het uitoefenen van de rechten van de betrokkene) en artikel 13 van de AVG (dat gaat over de inhoud van de informatieverstrekking aan betrokkene). De twee overtredingen leveren elk een boete op van € 5 miljoen.
In deze blog wordt kort ingegaan op de overtredingen door Uber, de hoogte van de boete en de les die getrokken kan worden uit het boetebesluit.
Wat was er aan de hand?
Zoals we wel vaker zien is ook in dit geval het handhavingstraject van de toezichthouder begonnen met klachten van betrokkenen. In dit geval waren het Franse Uber chauffeurs die een klacht hadden ingediend bij een mensenrechten organisatie over de verzoeken tot inzage en dataportabiliteit via de chauffeurs app van Uber en over de privacyverklaring van Uber. De mensenrechten organisatie diende vervolgens namens de chauffeurs bij de Franse privacy toezichthouder (CNIL) een klacht in. Omdat de hoofdvestiging van Uber in Nederland is gevestigd, was de AP de leidend toezichthouder en de bevoegde autoriteit in deze zaak.
De boete is opgelegd omdat de AP het volgende constateerde:
- Uber chauffeurs konden moeilijk hun privacy rechten uitoefenen, het uitoefenen van hun rechten werd de chauffeurs onnodig ingewikkeld en moeilijk gemaakt.
- In de app voor chauffeurs zat een digitaal formulier om inzage of dataportabiliteit te vragen, maar deze stond niet op een logische plek. Het zat diep en te verspreid in allerlei menu’s.
- Uber handelde een inzageverzoek af door informatie in een CSV-bestand te zetten, waarin de persoonsgegevens niet altijd waren gestructureerd en daardoor lastig te interpreteren waren.
- De Franse chauffeurs kregen uitsluitend Engelse ‘guidance notes’ aangeboden met nadere uitleg over de CSV-bestanden.
- De informatie over de bewaartermijnen in de privacyverklaring van Uber was niet specifiek genoeg.
- Uber noemt in de privacyverklaring niet concreet de namen van de landen waar doorgifte van gegevens naar plaatsvindt en ook niet de specifieke beschermingsmaatregelen.
- Uber noemt het recht op dataportabiliteit niet expliciet in haar privacyverklaring.
Verzoeken om inzage en dataportabiliteit
De AP oordeelt in het boetebesluit dat Uber een te hoge drempel opwierp voor de betrokken chauffeurs om het recht op inzage of dataportabiliteit uit te oefenen. Het digitale formulier waarmee chauffeurs hun recht op inzage en dataportabiliteit konden uitoefenen, was niet gemakkelijk genoeg bereikbaar in de chauffeurs app omdat er te veel stappen moesten worden doorlopen en de bewoordingen van de stappen niet intuïtief leidden tot het formulier. Ook werd de door Uber verstrekte informatie niet in een gemakkelijk toegankelijke vorm en in begrijpelijke taal verstrekt. De ‘guidance notes’ die de chauffeurs ontvingen bij het CSV-bestand betroffen een document van 26 pagina’s in de Engelse taal met uitleg over de verschillende zeer specifieke tabelwaarden, zoals telematische gegevens en diverse apparaat gegevens. Dit overstijgt het niveau van een zeer korte en eenvoudige tekst.
Uber faciliteerde haar chauffeurs hiermee onvoldoende in het uitoefenen van hun privacy rechten en heeft hiermee naar het oordeel van de AP artikel 12 eerste en tweede lid van de AVG overtreden.
Privacyverklaring
Uber heeft in haar privacyverklaring de bewaartermijnen van de gegevens van de chauffeurs niet concreet benoemd, dat zou volgens Uber tot een pagina’s lange privacyverklaring leiden. De AP is echter van mening dat het slechts in algemene zin noemen dat persoonsgegevens worden bewaard zolang als noodzakelijk is voor bepaalde doeleinden (zoals Uber doet) niet gelijk gesteld kan aan het noemen van criteria ter bepaling van de bewaartermijn. Betrokkenen moeten in staat zijn om de bewaartermijnen voor hun persoonsgegevens te bepalen, en de door Uber verstrekte informatie is gelet daarop te algemeen van aard.
In de privacyverklaring worden door Uber niet de landen buiten de EER worden genoemd waarnaar doorgifte van persoonsgegevens plaatsvindt en welke specifieke maatregelen daarvoor zijn getroffen. Dit stelt betrokkenen niet in de gelegenheid om na te gaan welke waarborgen voor hen relevant kunnen zijn en wat deze waarborgen precies inhouden (door de van toepassing zijnde waarborgen te kunnen raadplegen).
Uber heeft in de privacyverklaring het recht op gegevensoverdraagbaarheid niet expliciet vermeldt, terwijl Uber wel verplicht is om bij de verstrekking van persoonsgegevens betrokkenen onder meer te informeren over het recht op gegevensoverdraagbaarheid.
Uber heeft hiermee naar het oordeel van de AP artikel 13, tweede lid, aanhef en onder a en tweede lid, onder b, van de AVG en artikel 15, eerste lid, onder d, van de AVG overtreden.
De hoogte van de boete
Een boete van € 10 miljoen is een hoge boete, zeker, maar in het geval van Uber behoeft dit bedrag enige nuancering. Uber heeft zowel artikel 12 als ook artikel 13 van de AVG overtreden, het boetemaximum voor elk van de overtredingen bedraagt 4% van de wereldwijde omzet. Bij Uber was de wereldwijde jaaromzet in 2022 (het boekjaar waarnaar gekeken moet worden) € 29,750 miljard. Dit betekent dat het boetemaximum voor elk van de overtredingen € 1,19 miljard bedraagt.
De AP heeft echter een veel lagere boete opgelegd voor iedere overtreding, namelijk € 5 miljoen, dat is 0,0168 % van de wereldwijde omzet. De AP heeft namelijk het niveau van de ernst van de inbreuken als “laag” gekwalificeerd, waarmee het startbedrag van een boete volgens de Richtsnoeren[1] moet worden bepaald op een punt tussen de 0 en 10% van het boetemaximum. Vervolgens heeft de AP de ernst van de inbreuken beoordeeld als “gering”.
Lessen uit het boetebesluit
De AP laat met dit boetebesluit zien dat privacyrechten van betrokkenen serieus genomen moeten worden. Een betrokkenen moet de regie hebben over zijn of haar gegevens en moet kunnen controleren wat een organisatie met zijn of haar gegevens doet. Neem je de privacyrechten van betrokkenen niet serieus, dan kan de toezichthouder een onderzoek starten. Een onderzoek begint vaak naar aanleiding van een klacht, zoals ook in het geval van het Uber boetebesluit van 11 december 2023.
Natuurlijk, de berokken inbreuken op de AVG zijn op zichzelf niet heel ernstig, maar leveren wel degelijk overtredingen op van de AVG die ook beboet kunnen worden. Boetes worden dus ook opgelegd als je het best al wel goed geregeld hebt voor de betrokkenen (medewerkers, klanten) maar nog niet helemaal zoals de AVG dat vereist.
Wat we ook in dit boetebesluit weer terug lezen, is dat de bereidheid om altijd mee te werken met de toezichthouder en het constant bezig zijn met het verbeteren van de diensten geen reden is om een boete onevenredig te achten. Zowel het voldoen aan de AVG als het meewerken met de AP bij het uitoefenen van haar bevoegdheden zijn immers wettelijk verplicht.
Het is verstandig om de procedures die je in de organisatie hebt voor het faciliteren van de privacyrechten van betrokkenen nog eens kritisch te bekijken. Kunnen alle betrokkenen makkelijk hun privacy rechten uitoefenen? Welke informatie ontvangen ze als er een verzoek om inzage wordt gedaan, is dit in begrijpelijke taal en afgestemd op de doelgroep geschreven? Hetzelfde geldt voor de privacy verklaringen, zijn ze voor de betrokkenen makkelijk te vinden en in begrijpelijke taal geschreven? Klopt het nog wat er staat over bijvoorbeeld derde partijen waar persoonsgegevens aan worden doorgegeven of bewaartermijnen en is de informatie wel specifiek genoeg?
Heeft u vragen of wilt u weten wat wij voor u kunnen betekenen? Wij zijn u graag van dienst! Bel of mail gerust naar 070 392 22 09 of info@duthler.nl.
[1]Guidelines 04/2022 on the calculation of administrative fines under the GDPR