Vào ngày 26/8/2024, Cơ quan Bảo vệ Dữ liệu Hà Lan (Autoriteit Persoonsgegevens – DPA) đã phạt Uber Technologies Inc. và Uber B.V. 290 triệu euro (tương đương khoảng 324 triệu USD) do vi phạm nghiêm trọng các quy định về chuyển dữ liệu cá nhân từ Liên minh châu Âu (EU) sang Hoa Kỳ mà không đảm bảo các biện pháp bảo vệ thích hợp theo GDPR. Đây được xem là án phạt lớn nhất từng được áp dụng bởi DPA đối với một doanh nghiệp công nghệ tại châu Âu.
Cuộc điều tra bắt đầu sau khi hơn 170 tài xế Uber tại Pháp và một tổ chức nhân quyền nộp khiếu nại lên cơ quan bảo vệ dữ liệu Pháp (CNIL). Do Uber đặt trụ sở châu Âu tại Hà Lan, CNIL đã chuyển vụ việc cho DPA tiến hành điều tra.
DPA xác định rằng Uber đã thu thập và xử lý các loại dữ liệu nhạy cảm của tài xế châu Âu—bao gồm giấy phép hành nghề, dữ liệu vị trí, ảnh, thông tin thanh toán, giấy tờ tùy thân và trong một số trường hợp cả dữ liệu về tình trạng y tế—rồi chuyển những dữ liệu này sang máy chủ tại Mỹ trong hơn 27 tháng mà không sử dụng các biện pháp bảo vệ thích hợp như Điều khoản Hợp đồng Chuẩn (SCC) hay các biện pháp bổ sung khác theo Chương V của GDPR. Điều này được xem là vi phạm nghiêm trọng Điều 44 của GDPR quy định về chuyển dữ liệu xuyên biên giới.
Bối cảnh của vụ xử phạt còn chịu ảnh hưởng lớn từ phán quyết Schrems II của Tòa án Công lý Liên minh châu Âu (CJEU) năm 2020, khi thỏa thuận Privacy Shield giữa EU và Mỹ bị tuyên bố mất hiệu lực vì mức bảo vệ dữ liệu tại Mỹ không tương đương với tiêu chuẩn EU. Các doanh nghiệp chuyển dữ liệu sang Mỹ sau phán quyết này buộc phải sử dụng SCC cùng với biện pháp bổ sung để đảm bảo mức độ bảo vệ tương đương theo yêu cầu của GDPR.
Uber đã phản đối quyết định của DPA, gọi đây là “quyết định sai lầm” và tuyên bố sẽ kháng cáo. Công ty lập luận rằng trong thời gian “bất ổn pháp lý” kéo dài gần ba năm giữa EU và Mỹ sau Schrems II, các hướng dẫn rõ ràng về chuyển dữ liệu xuyên biên giới đã thiếu vắng, và trong thời gian đó Uber vẫn tuân thủ GDPR.
Đây không phải là trường hợp duy nhất trong EU: trước đó, Meta (Facebook) đã từng bị phạt kỷ lục hơn 1,3 tỷ USD bởi Ủy ban Bảo vệ Dữ liệu Ireland vì vi phạm tương tự liên quan đến chuyển dữ liệu sang Mỹ; và một số công ty khác cũng bị xử phạt bởi các cơ quan bảo vệ dữ liệu ở Thụy Điển do sử dụng các dịch vụ phân tích web mà không đảm bảo bảo vệ dữ liệu.
Quyết định xử phạt của Hà Lan không chỉ là một trong các án phạt GDPR lớn nhất, mà còn gửi đi thông điệp mạnh mẽ về việc thực thi nguyên tắc bảo vệ dữ liệu xuyên biên giới. Dữ liệu cá nhân, đặc biệt khi được chuyển sang quốc gia khác, phải được bảo vệ ở mức độ không thấp hơn tiêu chuẩn EU ngay cả khi xử lý bởi các công ty đa quốc gia có trụ sở ngoài châu Âu. Việc thiếu biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu nhạy cảm như vị trí, giấy tờ tùy thân, hoặc thông tin tài chính có thể dẫn tới rủi ro pháp lý đáng kể.
