オランダ データ保護局 ドライバーデータの米国への転送を理由にUberに2億9000万ユーロ（467億円）の罰金

こんにちは、丸山満彦です。

オランダのデータ保護局 (Autoriteit Persoonsgegevens: AP) が米国のUBERに対して2億9000万ユーロ（467億円）の罰金を課すと発表していますね...

UBERは訴訟も考えているようです...

なお、2023.12.31期のAnnual Report では、売上高は約373億ドル(約5.4兆円)ですね。。。

 

金額が大きくなったのは、センシティブなデータが含まれていたからのようですね...

 

● Autoriteit Persoonsgegevens: AP

・2024.08.26 Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US

Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US	オランダDPA、米国へのドライバーデータの転送を理由にUberに2億9000万ユーロの罰金
The Dutch Data Protection Authority (DPA) imposes a fine of 290 million euros on Uber. The Dutch DPA found that Uber transferred personal data of European taxi drivers to the United States (US) and failed to appropriately safeguard the data with regard to these transfers. According to the Dutch DPA, this constitutes a serious violation of the General Data Protection Regulation (GDPR). In the meantime, Uber has ended the violation.	オランダのデータ保護当局(DPA)は、Uberに2億9000万ユーロの罰金を科した。オランダのDPAは、Uberが欧州のタクシー運転手の個人情報を米国に転送し、これらの転送に関するデータの適切な保護を怠っていたことを発見した。オランダのDPAによると、これは一般データ保護規則(GDPR)の重大な違反にあたる。一方で、Uberは違反を解消した。
"In Europe, the GDPR protects the fundamental rights of people, by requiring businesses and governments to handle personal data with due care", Dutch DPA chairman Aleid Wolfsen says. "But sadly, this is not self-evident outside Europe. Think of governments that can tap data on a large scale. That is why businesses are usually obliged to take additional measures if they store personal data of Europeans outside the European Union. Uber did not meet the requirements of the GDPR to ensure the level of protection to the data with regard to transfers to the US. That is very serious."	オランダDPAのAleid Wolfsen議長は次のように述べた。「欧州では、GDPRは、企業や政府が個人情報を適切に扱うことを義務付けることで、人々の基本的権利を保護している。しかし残念ながら、これは欧州以外では自明のことではない。大規模なデータ傍受を行う政府を考えてみてほしい。だからこそ、企業は通常、欧州連合域外で欧州人の個人情報を保存する場合には、追加の措置を取る義務があるのだ。Uberは、米国への転送に関して、データ保護のレベルを保証するGDPRの要件を満たしていなかった。これは非常に深刻な問題だ。」
Sensitive data	センシティブなデータ
The Dutch DPA found that Uber collected, among other things, sensitive information of drivers from Europe and retained it on servers in the US. It concerns account details and taxi licences, but also location data, photos, payment details, identity documents, and in some cases even criminal and medical data of drivers.	オランダのDPAは、Uberが欧州のドライバーのセンシティブな情報を収集し、米国のサーバーに保存していることを発見した。これには、アカウントの詳細やタクシーのライセンス、さらには位置情報、写真、支払い情報、身分証明書、場合によってはドライバーの犯罪歴や医療データも含まれる。
For a period of over 2 years, Uber transferred those data to Uber's headquarters in the US, without using transfer tools. Because of this, the protection of personal data was not sufficient. The Court of Justice of the EU invalidated the EU-US Privacy Shield in 2020.	Uberは2年以上にわたり、転送ツールを使用せずに、これらのデータを米国のUber本社に転送していた。このため、個人データの保護は十分ではなかった。EU司法裁判所は2020年にEU-USプライバシーシールドを無効とした。
According to the Court, Standard Contractual Clauses could still provide a valid basis for transferring data to countries outside the EU, but only if an equivalent level of protection can be guaranteed in practice.	裁判所によると、標準契約条項は、EU域外へのデータ移転の有効な根拠となり得るが、同等の保護レベルが実際に保証される場合に限られる。
Because Uber no longer used Standard Contractual Clauses from August 2021, the data of drivers from the EU were insufficiently protected, according to the Dutch DPA. Since the end of last year, Uber uses the successor to the Privacy Shield.	Uberは2021年8月以降、標準契約条項を使用していないため、EUのドライバーのデータは十分に保護されていないと、オランダのDPAは指摘している。昨年末以降、Uberはプライバシーシールドの後継プログラムを使用している。
Complaints from drivers	ドライバーからの苦情
The Dutch DPA started the investigation on Uber after more than 170 French drivers complained to the French human rights interest group the Ligue des droits de l’Homme (LDH), which subsequently submitted a complaint to the French DPA.	オランダのDPAがUberの調査を開始したのは、170人以上のフランスのドライバーがフランスの人権擁護団体「人権の会(Ligue des droits de l'Homme:LDH)」に苦情を申し立てた後、同団体がフランスのDPAに苦情を提出したためである。
Pursuant to the GDPR, businesses that process data in several EU Member States have to deal with one DPA: the authority in the country in which the business has its main establishment. Uber's European headquarters is based in the Netherlands. During the investigation, the Dutch DPA closely cooperated with the French DPA and coordinated the decision with other European DPAs.	GDPRに従い、複数のEU加盟国でデータを処理する企業は、その企業の本拠地がある国のデータ保護当局と対応しなければならない。Uberの欧州本部はオランダにある。調査中、オランダのデータ保護当局はフランスのデータ保護当局と緊密に協力し、他の欧州のデータ保護当局と決定を調整した。
Fine for Uber	Uberへの罰金
All DPAs in Europe calculate the amount of fines for businesses in the same manner. Those fines amount to a maximum of 4% of the worldwide annual turnover of a business. Uber had a worldwide turnover of around 34.5 billion euro in 2023. Uber has indicated its intent to object to the fine.	欧州のすべてのデータ保護当局は、企業に対する罰金額を同じ方法で算出している。これらの罰金額は、企業の全世界年間売上高の最大4%に相当する。Uberの2023年の全世界売上高は約345億ユーロであった。Uberは罰金に異議を申し立てる意向を示している。
This is the third fine that the Dutch DPA imposes on Uber. The Dutch DPA imposed a fine of 600,000 euro on Uber in 2018, and a fine of 10 million euro in 2023. Uber has objected to this last fine.	これは、オランダのDPAがUberに科した3回目の罰金である。オランダのDPAは2018年にUberに60万ユーロの罰金を科し、2023年には1000万ユーロの罰金を科した。Uberは最後の罰金に対して異議を申し立てている。

 

 

 

---

● European Data Protection Board; EDPB

・2024.08.26 Dutch SA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US

Dutch SA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US	オランダSAは、運転手のデータを米国に転送したことを理由に、Uberに2億9000万ユーロの罰金を課した
Background information	背景情報
Date of final decision:    22 July 2024	最終決定日: 2024年7月22日
Cross-border case	国境を越える案件
One-Stop-Shop Procedure: the decision was taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (OSS).	ワンストップショップ手続き: この決定は、ワンストップショップ協力手続き(OSS)に従って、国内の監督当局によって下された。
Netherlands	オランダ
and CSAs:    All SAs, except for Bulgaria, Cyprus, Iceland, Latvia, Liechtenstein, Luxembourg and Slovenia.	および CSA:ブルガリア、キプロス、アイスランド、ラトビア、リヒテンシュタイン、ルクセンブルク、スロベニアを除くすべてのSA。
Legal Reference(s): Article 44 (General principle for transfers), Article 46 (Transfers by way of appropriate safeguards),  Article 49 (Derogations for specific situations)	参照条文:第44条(移転に関する一般原則)、第46条(適切な保護措置による移転)、第49条(特定の状況における例外
Decision: Administrative fine	決定:行政罰金
Key words: Administrative fine,   International transfer,  Third party access to personal data	キーワード:行政罰金、国際移転、第三者による個人情報へのアクセス
Summary of the Decision	決定の概要
Origin of the case	事案の経緯
The Dutch Supervisory Authority (SA) started the investigation on Uber after more than 170 French Uber drivers complained to the French human rights interest group the Ligue des droits de l’Homme (LDH), which subsequently submitted a complaint to the French SA. The French SA forwarded the complaints to the Dutch SA, which is the Lead Supervisory Authority for Uber.	170人以上のフランスのUberドライバーがフランスの人権擁護団体「人権の会(Ligue des droits de l'Homme:LDH)」に苦情を申し立てたことを受け、オランダの監督当局(SA)がUberの調査を開始した。その後、LDHがフランスのSAに苦情を申し立てた。フランスのSAは、Uberの主導監督当局であるオランダのSAに苦情を転送した。
Key Findings	主な調査結果
The Dutch SA found that Uber collected, among other things, sensitive information of drivers from Europe and retained it on servers in the US. It concerns account details and taxi licences, but also location data, photos, payment details, identity documents, and even in some cases criminal and medical data of the drivers.	オランダSAは、Uberが欧州のドライバーの機密情報を収集し、米国のサーバーに保存していることを発見した。これには、アカウントの詳細やタクシーのライセンス、さらには位置情報、写真、支払い情報、身分証明書、場合によってはドライバーの犯罪歴や医療データも含まれる。
For a period of over two years, Uber transferred those data to Uber's headquarters in the US, without using transfer tools. Because of this, the protection of personal data was not sufficient. The Court of Justice of the EU invalidated the Privacy Shield in 2020. According to the Court, Standard Contractual Clauses could still provide a valid basis for transferring data to countries outside the EU, but only if an equivalent level of protection can be guaranteed in practice. Because Uber no longer used Standard Contractual Clauses from August 2021, the data of drivers from the EU were insufficiently protected, according to the Dutch SA. Since the end of last year, Uber uses the successor to the Privacy Shield.	Uberは2年以上にわたり、転送ツールを使用せずに、それらのデータを米国のUber本社に転送していた。このため、個人データの保護は十分ではなかった。EU司法裁判所は2020年にプライバシーシールドを無効とした。同裁判所によると、標準契約条項は、EU域外へのデータ転送の有効な根拠を提供できるが、同等の保護レベルが実際に保証される場合に限られる。2021年8月以降、Uberは標準契約条項を使用しなくなったため、オランダのSAによると、EUのドライバーのデータは十分に保護されていなかった。昨年末以降、Uberはプライバシーシールドの後継プログラムを使用している。
Decision	決定
The Dutch SA imposed a fine of 290 million euros on Uber.	オランダのSAはUberに2億9000万ユーロの罰金を科した。

 

 

 

---

 

UBERの開示...

● SEC - EDGAR

・Uber Technologies, Inc (CIK 0001543151)

最新の10-K

・2024.02.15 2023 10-K (Annual report)