2024年1月31日，荷兰数据保护当局（AP）宣布其于2023年12月11日发布的决定，对Uber Technologies Inc.和Uber B.V.（统称Uber）违反《通用数据保护条例》（GDPR）处以1000万欧元的罚款。

决定背景

AP强调它在法国收到超过170名司机的投诉后展开了调查，这些投诉是通过Ligue des droits de l'homme et du citoyen（LDH）作为中介提交给法国数据保护当局（CNIL）的，司机的投诉涉及对其数据的访问。随后，因为Uber的欧洲总部位于荷兰，CNIL将投诉转发给AP。

荷兰数据保护当局的调查结果

荷兰数据保护当局发现司机用于请求访问其数据的数字表单并不容易访问，需要经过太多步骤，并且无法直观地引导到请求表单。AP认为由于与司机的大多数互动是通过Uber应用程序进行的，司机应该能够通过应用程序行使其数据主体权利。据此，AP认此Uber违反了GDPR第12条第2款关于访问权的规定。

AP还认为作为数据主体向司机提供的信息不符合GDPR第12条第1款的可理解性要求，因为提供的信息不是用简明扼要的语言表述的。其中，Uber应用程序的指导信息仅提供英语，而不是法语。尽管法国司机必须通过英语考试，但AP认为参考瑞典监督当局（IMY）关于Spotify的决定，Uber未采取足够措施确保数据主体理解可用的信息，从而违反了GDPR第12条第1款。

AP还指出关于司机数据保留的问题，没有在隐私条款和条件中具体说明优步保留司机个人数据的时间，因此AP认定Uber违反了GDPR第13条第2款（a）、第15条第1款（a）和第15条第1款（d）的规定。Uber的隐私政策还未说明个人数据传输发生在欧洲经济区以外的哪些国家，以及采取了哪些措施来解决这个问题。而且，Uber只提供了一般性条款，而没有提供明确的信息，未能让数据主体有机会确定他们可以获得哪些保障。因此，Uber被认定违反了GDPR第13条第1款（f）的规定。

最后，AP指出Uber的隐私政策未提及数据可移植权，"接收数据 "一词的使用与数据可携带权无关，因为它也可能涉及到访问权。因此，Uber被认定违反了GDPR第13条第2款（b）的规定。

鉴于上述违规行为，AP认为对Uber处以1000万欧元的罚款是合适的。