De Autoriteit Persoonsgegevens (AP) heeft Uber een boete van €290 miljoen opgelegd vanwege de overtreding van regels die de Algemene Verordening Gegevensbescherming (AVG) stelt aan internationale doorgiften van persoonsgegevens. Het boetebesluit is op 26 augustus 2024 gepubliceerd. Het is met afstand de hoogste boete van de AP tot op heden, en een van de hoogste Europese privacyboetes.
Uber geeft persoonsgegevens van Europese taxichauffeurs door naar de Verenigde Staten (VS) en heeft daarbij volgens de AP tussen 2021 en 2023 geen gebruik gemaakt van een doorgifte-instrument. Aanleiding van het onderzoek is een klacht die is ingediend bij de Franse CNIL. De AP is de leidende toezichthouder omdat het Europese hoofdkantoor van Uber in Nederland is gevestigd.
De AVG vereist dat bij een doorgifte van persoonsgegevens naar een land buiten de EU gebruik wordt gemaakt van een zgn. doorgifte-instrument. Er zijn verschillende instrumenten, zoals een adequaatheidsbesluit van de Europese Commissie, standard contractual clauses (SCCs), binding corporate rules (BCR) en uitzonderingen onder art. 49 AVG.
Adequaatheidsbesluiten zijn een veelgebruikte oplossing voor doorgiften naar de VS, maar daarvan zijn er inmiddels al twee ongeldig verklaard door het Europese Hof van Justitie (met name vanwege de toegang door Amerikaanse inlichtingendiensten tot Europese data, zie de Schrems arresten uit 2015 en 2020). Sinds vorig jaar is er een derde adequaatheidsbesluit, namelijk voor het Data Privacy Framework (DPF) waaronder Uber is gecertificeerd, maar tussen 2020 en 2023 was er dus géén adequaatheidsbesluit voor de VS. De SCCs waren tijdens deze periode het meest gangbare alternatief. Volgens de Europese Commissie kunnen de bestaande SCCs echter niet worden gebruikt voor doorgiften naar een partij buiten de EU die onder het toepassingsbereik van de AVG valt, omdat de SCCs dan dubbelingen en afwijkingen van verplichtingen onder de AVG opleveren (zie vraag 24).
De relevante Uber entiteiten in casu – Uber B.V. (in NL) en Uber Technologies Inc. (in de VS) – kwalificeren als gezamenlijke verwerkingsverantwoordelijken en vallen allebei onder het toepassingsbereik van de AVG. Uber heeft de SCCs in 2021 verwijderd uit de Data Sharing Agreement tussen deze twee entiteiten. Voor de periode tussen 2021 en 2023 heeft Uber zich op het standpunt gesteld dat doorgiften nodig waren om contracten met de chauffeurs uit te voeren, maar de AP oordeelt dat deze uitzondering van art. 49 AVG niet kon worden toegepast omdat niet is voldaan aan de voorwaarden dat de doorgiften “incidenteel” en “noodzakelijk” zijn.
Internationale doorgiften blijven een juridisch mijnenveld. Het is een kwestie van tijd tot het Europese Hof van Justitie ook een oordeel zal vellen over het derde adequaatheidsbesluit voor de VS. Vorig jaar heeft de Ierse DPC de hoogste AVG-boete ooit (€1,2 miljard) opgelegd aan Meta voor doorgiften naar de VS op basis van SCCs. Bij deze recordboete van de AP lijkt het verwijt aan Uber in de kern juist te zijn dat SCCs ontbraken. Kortom: hoewel de AVG al ruim 6 jaar oud is, blijft het regime voor internationale doorgiften continu in beweging. Het gebruik van een adequaatheidsbesluit of SCCs kan het ene moment een prima oplossing zijn, maar later vanwege externe ontwikkelingen een overtreding van de AVG opleveren. In projecten waarbij doorgiften plaatsvinden is het dus niet alleen van belang om de juiste instrumenten toe te passen, maar ook om ervoor te zorgen dat de werkwijze zoveel mogelijk toekomstbestendig is. Dat vereist onder meer een zorgvuldige beoordeling van contracten, zowel met derde partijen zoals klanten / leveranciers / partners als intra-groep contracten tussen verschillende entiteiten binnen een groep van ondernemingen.
Wat te doen in afwachting van de aanvullende set SCCs voor doorgiften naar partijen die onder het toepassingsbereik van de AVG vallen. Terwijl de Europese Commissie benadrukte dat de bestaande SCCs niet kunnen worden gebruikt voor doorgiften naar partijen buiten de EU die onder het toepassingsbereik van de AVG vallen, was de boodschap dat specifiek voor dit scenario wordt gewerkt aan een aanvullende set SCCs (zie vraag 24). Deze aanvullende set SCCs is echter nog niet verschenen en tot die tijd doen organisaties er verstandig aan maatregelen te treffen zodat hen niet hetzelfde verwijt kan worden gemaakt als Uber. Voor doorgiften naar de VS kan het DPF een oplossing bieden, mits de ontvanger in de VS daaronder is gecertificeerd. Het is echter niet ondenkbaar dat het derde adequaatheidsbesluit voor de VS opnieuw ongeldig zal worden verklaard. Bovendien is er voor veel andere landen überhaupt geen adequaatheidsbesluit. Als alternatief voor een adequaatheidsbesluit lijkt gebruik van de bestaande SCCs (ten minste in afwachting van de aanvullende set SCCs) gelet op deze boete van de AP een veiligere oplossing dan gebruik van de uitzonderingen van art. 49 AVG. Mogelijk had Uber daarmee zelfs – hoewel tegen de instructies van de Europese Commissie in – aan de boete van de AP kunnen ontsnappen.
Geen “doorgifte” als gegevens rechtstreeks van de betrokkene worden verzameld. Het begrip “doorgifte” is in de AVG niet gedefinieerd. De EDPB heeft invulling gegeven aan dit begrip en stelt zich daarbij op het standpunt dat géén sprake is van een doorgifte wanneer een partij buiten de EU gegevens rechtstreeks verzamelt van een persoon in de EU. Uber haakt hierbij aan en voert het verweer dat chauffeurs hun gegevens direct beschikbaar stellen aan Uber Technologies Inc. De AP wijst dat verweer af en is kort gezegd van oordeel dat Uber B.V. medeverantwoordelijkheid draagt en zeggenschap heeft over de doorgifte naar de VS. Met andere woorden: Uber B.V. wordt aangemerkt als de exporteur van de gegevens. Het boetebesluit geeft weinig duidelijkheid over de vraag onder welke omstandigheden dan wél sprake kan zijn van rechtstreekse verzameling in de EU. Uber heeft aangekondigd in bezwaar te gaan en een nadere invulling van dit leerstuk zou nuttig zijn.
Uitzonderingen van art. 49 AVG kunnen maar beperkt worden toegepast. De EDPB zat al op dezelfde lijn en de boete van de AP onderstreept nog maar eens dat de uitzonderingen van art. 49 AVG slechts in beperkte gevallen kunnen worden toegepast. Hoewel de uitzonderingen in potentie een welkom alternatief (of zelfs laatste redmiddel) kunnen bieden, lijken zij voor nu in de praktijk onbruikbaar tenzij het gaat om kleinschalige doorgiften. Dit heeft vooral te maken met het criterium dat de doorgifte “incidenteel” of “niet-repetitief” moet zijn. Het is onduidelijk waar de grens ligt en ook hier zou concrete interpretatie behulpzaam zijn.
BCR zijn de meest stabiele oplossing voor intra-groep doorgiften. Te midden van deze stormachtige ontwikkelingen bevinden organisaties die gebruik maken van BCR zich in aanzienlijk rustiger vaarwater. BCR zijn daarmee een interessante oplossing voor intra-groep doorgiften binnen organisaties met internationale aanwezigheid. Mede gelet op de recente guidance van de EDPB over BCRs is dit een goed moment om goedkeuring te vragen voor nieuwe BCR. Wij assisteren verschillende cliënten bij de goedkeuring en update van BCR.