„Uber“ perdavė duomenis į JAV duomenų bazes jų neapsaugojusi
Paaiškėjo, jog „Uber“ turi sumokėti Olandijos duomenų apsaugos agentūrai 290 mln. eurų už Europos taksi vairuotojų duomenų perdavimą į serverius Jungtinėse Amerikos Valstijose[1]. Nyderlandų duomenų apsaugos agentūra (DPA) nustatė, kad „Uber“ rinko „jautrią informaciją“ apie savo Europos vairuotojus, pavyzdžiui, taksi licencijas, buvimo vietos duomenis ir medicininius duomenis, ir laikė ją JAV serveriuose.
DPA pridūrė, esą „Uber“ perdavė duomenis į savo JAV duomenų bazes tinkamai jų neapsaugojusi. Tad šis žingsnis – rimtas Europos Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimas. Duomenų teisės aktuose reikalaujama, jog „įmonės ir vyriausybės asmens duomenis tvarkytų rūpestingai“, – teigia DPA pirmininkas Aleid Wolsen.
Nuogąstaujama, esą už Europos ribų tai nėra savaime suprantama. Todėl „Uber“ atstovas spaudai tikina, jog „šis ydingas sprendimas ir bauda yra visiškai nepagrįsti“. Be to, per trejus metus, kai tarp JAV ir ES tvyrojo didžiulis netikrumas dėl to, kaip bus taikomos taisyklės, jie laikėsi BDAR reikalavimų. Pasak „Uber“, problema kilo dar 2020 m., kai ES Teisingumo Teismas nustatė, jog dabartinė ES ir JAV duomenų perdavimo sistema nebeatitinka BDAR; neva Europos ir Amerikos bendrovės beveik trejus metus „liko be aiškių transatlantinių duomenų srautų gairių“.
Atgaline data paskirtos baudos apims 2020-2023 m., pradedant vaizdo konferencijas ir baigiant mokėjimus internetu
„Bet kokios duomenų apsaugos institucijų atgaline data skiriamos baudos kelia ypatingą nerimą, atsižvelgiant į tai, kad būtent šios privatumo priežiūros institucijos nepateikė naudingų gairių didelio teisinio neapibrėžtumo laikotarpiu, nesant jokio aiškaus teisinio pagrindo“, – teigė Kompiuterių ir ryšių pramonės asociacijos (CCIA) vadovas Alexandre Roure.
CCIA nuomone, atgaline data skirtos baudos reiškia, kad teisinis neapibrėžtumas bus taikomas viskam, kas vyko internete 2020-2023 m., pradedant vaizdo konferencijomis ir baigiant mokėjimų internetu tvarkymu.
„Uber“ savo ruožtu teigė apskųsiantys baudą; apeliacija reiškia, kad baudos mokėjimas sustabdytas, kol bus priimtas galutinis sprendimas.
Tai – trečia bauda „Uber“ per penkerius metus
DPA tyrimą pradėjo šių metų pradžioje po to, kai 2021 m. 170 Prancūzijos vairuotojų pateikė skundą Prancūzijos nevyriausybinei organizacijai „Ligue des droits de l’Homme“ (Žmogaus teisių lyga).
„Uber“ buvo paskirta 10 mln. eurų bauda praėjusių metų gruodį ir 600 000 eurų bauda 2018 m. Pasak Prancūzijos duomenų apsaugos institucijos, kuri bendradarbiavo su olandais nagrinėjant bylą, „Uber“ savo pareiškime taip pat pateikė „neišsamią“ informaciją apie tai, kaip bendrovė perduoda duomenis į JAV. Prancūzijos žmogaus teisių lygos teisininko Jerome Giusti nuomone, gruodžio mėn. skundas buvo pirmasis didelio masto darbuotojų ieškinys Europoje, grindžiamas BDAR. Dėl to dalis vairuotojų svarsto galimybę inicijuoti grupinį ieškinį, jog gautų kompensaciją.
„Uber“, kaip teigiama, negarantuoja Bendrojo duomenų apsaugos reglamento reikalaujamo apsaugos lygio, vairuotojams perduodant duomenis į JAV, kurie apima išsamią paskyros informaciją ir taksi licencijas, taip pat vietos duomenis, nuotraukas, mokėjimo informaciją, asmens tapatybės dokumentus bei, kai kuriais atvejais, baudžiamuosius ir medicininius vairuotojų duomenis.
Visos Europos privatumo reguliavimo institucijos baudų dydį įmonėms apskaičiuoja vienodai: naudos siekia ne daugiau kaip 4 proc. įmonės pasaulinės metinės apyvartos; 2023 m. „Uber“ pasaulinė apyvarta siekė apie 34,5 mlrd. eurų[2].
Buvęs „Uber“ vyriausiasis saugumo pareigūnas nuteistas trejiems metams lygtinai už duomenų pažeidimo slėpimą
Joseph Sullivan 2023-iaisiais buvo nuteistas kalėti trejus metus lygtinai ir sumokėti 50 000 dolerių baudą[3].
54 metų Sullivan iš Palo Alto Santa Klaros grafystėje anksčiau ėjo „Uber“ vyriausiojo saugumo pareigūno pareigas. Tačiau tuo pat metu „Uber“ buvo tiriamas Federalinės prekybos komisijos (FTC) dėl duomenų pažeidimo 2014-aisiais. Vyras buvo pasamdytas netrukus po to, kai buvo pradėtas FTC tyrimas.
2016-aisiais sužinota, jog į „Uber“ vėl buvo įsilaužta. Tačiau, skirtingai nei 2014 m., 2016 m. pavogti duomenys buvo didelio masto ir apėmė įrašus, susijusius su maždaug 57 milijonais „Uber“ vartotojų bei vairuotojų. Sullivan kaip įmanydamas stengėsi, jog FTC nepasiektų jokios žinios apie pažeidimą. Vyras netgi siūlė sumokėti įsilaužėliams mainais už tai, jog jie niekam šio fakto neatskleitų.
Galiausiai, „Uber“ 2016 m. vasarą sudarė preliminarų susitarimą su FTC, neatskleisdama jai apie 2016 m. duomenų pažeidimą. 2017 m. rudenį naujoji „Uber“ vadovybė pradėjo tirti faktus, susijusius su 2016 m. duomenų pažeidimu. Paklaustas naujojo „Uber“ generalinio direktoriaus, kas atsitiko, Sullivan melavo apie pažeidimo aplinkybes, sakydamas, neva įsilaužėliai nepavogė jokių duomenų. Tiesą apie pažeidimą iškasė naujoji „Uber“ vadovybė 2017 m. lapkritį.
„Uber“ išmokėjo 272 mln. dolerių kompensaciją Australijos taksi vairuotojams
Teisininkai dar pavasarį teigė, kad pavėžėjimo paslaugų bendrovė taksi ir nuomojamų automobilių vairuotojams išmokės kompensaciją, kurios jie nusipelnė[4]. „Uber“ tąsyk sumokėjo beveik 272 mln. dolerių kompensaciją, kai pavėžėjimo paslaugų bendrovė agresyviai žengė į Australijos rinką. Tai buvo penktas pagal dydį grupinio ieškinio susitarimas Australijos istorijoje, pasiektas po penkerių metų, kai buvo pradėta teisinė kova daugiau nei 8 000 taksi ir nuomojamų automobilių savininkų bei vairuotojų vardu.
Tikslinama, esą dėl agresyvaus „Uber“ atėjimo į rinką vairuotojai ir automobilių savininkai prarado pajamas ir licencijų vertę, o bendrovė kiekviename žingsnyje stengėsi atsisakyti išmokėti jiems kompensacijas.
Teisininkai teigė, jog „Uber X“ pradėjo veiklą Australijoje siekdama pakenkti vietos taksi ir samdomų automobilių vairuotojams. Be to, bendrovė naudojo nelicencijuotus automobilius su neakredituotais vairuotojais, vykdydama „sąmokslą neteisėtomis priemonėmis“.
„Uber“, kaip ir visuomet, turėjo savo argumentų; esą taksi ir samdomų automobilių vairuotojų skundai yra „paveldėta problema“, mat kai daugiau nei prieš dešimtmetį bendrovė pradėjo veiklą, pavėžėjimo paslaugų dalijimosi taisyklių nebuvo niekur pasaulyje. Visgi, šįsyk nuo atsakomybės išsisukti nepavyko.
„Bolt“ „sąskaitoje“ – milijoninės baudos už mokesčių vengimą
Valstybinė pajamų tarnyba už pelno mokesčio nesumokėjimą bendrovei „Bolt“, teikiančiai taksi pagal užsakymą, prieš porą metų skyrė vieną didžiausių baudų – 1,4 mln. eurų[5]. Tai antras kartas, kai Latvijos institucija baudžia Estijos vienaragį už mokesčių vengimą Latvijoje.
„Bolt“, anksčiau žinoma kaip Taxify, į Latviją įžengė 2016 m. Tačiau problemos su Valstybine pajamų tarnyba prasidėjo iš pat pradžių.
„Bolt“ programa Latvijoje įregistruota Estijos įmonės „Bolt Operations“ vardu. Nuo 2016 m. Latvijoje veikia nuolatinė buveinė, kuri turi mokėti pelno mokestį už Latvijoje vykdomą veiklą. Visgi, „Bolt“ pažeidė šią taisyklę. „Bolt“ už panašius pažeidimus anksčiau buvo nubausta maždaug 200 tūkst. eurų bauda.
Tokio pobūdžio bylos atskleidžia, kaip skirtingi verslo niuansai gali lemti milijonus eurų sumokėtų ar nesumokėtų mokesčių užsienio bendrovėms. Pavyzdžiui, įmonė „Yandex“, kuri prieš porą metų buvo „Bolt“ konkurentė, iš Latvijos išvyko nesumokėjusi nė cento pelno mokesčio, tačiau ji baudos negavo.
