Platform pemesanan tumpangan Uber telah didenda €290 juta — sekitar $324 juta pada nilai tukar saat ini — oleh pengawas privasi Belanda karena melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.
Sanksi tersebut terkait dengan pemindahan data pribadi pengemudi dari Uni Eropa ke AS, tempat bisnis utama Uber berada. GDPR mengizinkan denda hingga 4% dari omzet tahunan global untuk dikenakan atas pelanggaran.
Pendapatan Uber sepanjang tahun 2023 adalah sekitar €34,5 miliar — jadi tingkat sanksinya jauh di bawah batas maksimum tersebut. Namun, jumlah tersebut masih cukup besar karena termasuk di antara denda terbesar yang dijatuhkan kepada perusahaan teknologi sejak GDPR mulai berlaku pada tahun 2018.
Denda tersebut merupakan hasil dari serangkaian pengaduan yang diajukan oleh lebih dari 170 pengemudi Uber di Prancis pada tahun 2021. Regulator Belanda, Autoriteit Persoonsgegevens (atau AP), memimpin pengawasan GDPR terhadap Uber karena perusahaan tersebut memiliki kantor pusat UE utamanya di negara tersebut. Mereka menyelidiki pengaduan tentang bagaimana perusahaan tersebut memproses data pribadi pengemudi. Pengaduan diajukan melalui organisasi hak asasi manusia, Ligue des droits de l'Homme (LDH), kepada pengawas privasi Prancis dan kemudian diteruskan ke AP.
Di dalam JanuariUber didenda €10 juta untuk hak akses data yang berkaitan dengan keluhan yang sama. Namun denda baru yang diumumkan hari Senin itu mengerdilkan hukuman sebelumnya — menempatkannya di posisi baru dalam daftar raksasa teknologi yang dikenai sepuluh denda GDPR terbesar, tepat di bawah peringkat tengah.
Besarnya denda mencerminkan keseriusan pelanggaran, menurut AP, yang menulis dalam sebuah pernyataan siaran pers bahwa Uber telah gagal untuk “melindungi dengan baik” data yang ditransfernya keluar dari Uni Eropa — dan menyebutnya sebagai “pelanggaran serius”.
Masalah perlindungan data terkait dengan program pengawasan badan intelijen keamanan nasional AS yang — menyusul pengungkapan oleh whistleblower NSA Edward Snowden pada tahun 2013 — pengadilan di Eropa telah berulang kali menemukan adanya risiko terhadap perlindungan data dan hak privasi warga Uni Eropa. Ini menjadi masalah karena perlindungan GDPR seharusnya berlaku bersama data warga Eropa.
Raksasa teknologi AS, yang bertanggung jawab untuk mengendalikan sebagian besar aliran data UE-AS, pada dasarnya telah terperangkap di tengah-tengah konflik ini selama bertahun-tahun. Model bisnis yang bergantung pada penggalian data (dan karenanya akses ke data pribadi secara terbuka) juga sangat rentan terhadap risiko hukum privasi.
“Di Eropa, GDPR melindungi hak-hak dasar masyarakat, dengan mewajibkan perusahaan dan pemerintah untuk menangani data pribadi dengan hati-hati. Namun sayangnya, hal ini tidak terbukti di luar Eropa,” tulis ketua DPA Belanda Aleid Wolfsen dalam sebuah pernyataan. “Pikirkan pemerintah yang dapat memanfaatkan data dalam skala besar. Itulah sebabnya perusahaan biasanya diwajibkan untuk mengambil tindakan tambahan jika mereka menyimpan data pribadi warga Eropa di luar Uni Eropa. Uber tidak memenuhi persyaratan GDPR untuk memastikan tingkat perlindungan data terkait transfer ke AS. Itu sangat serius.”
Keluhan terhadap Uber diajukan selama periode ketika tidak ada kerangka kerja transfer data tingkat tinggi yang disetujui antara UE dan AS. Pada bulan Juli 2020, pengadilan tinggi blok tersebut membatalkan mekanisme yang dikenal sebagai Privacy Shield yang selama ini diandalkan oleh perusahaan tersebut, dan ribuan perusahaan lainnya, untuk mengotorisasi ekspor data mereka.
Kesepakatan transfer data baru Uni Eropa-AS tidak disetujui dan diadopsi hingga Juli 2023 — artinya ada periode tiga tahun dengan ketidakpastian hukum yang tinggi seputar ekspor data.
Perusahaan digital khususnya telah terekspos selama periode ini, mengingat sifat bisnis mereka yang berbasis data. Dan Uber bukan satu-satunya raksasa teknologi yang tersengat: Meta dikenai denda GDPR yang memecahkan rekor sebesar €1,2 miliar pada bulan Mei 2023 atas masalah inti yang sama. Beberapa DPA juga memperingatkan agar tidak menggunakan Google Analytics.
Dalam kasus Uber, DPA Belanda mengatakan data yang dikumpulkan dan diekspornya mencakup informasi pengemudi yang “sensitif”, termasuk detail akun, lisensi taksi, data lokasi, foto, detail pembayaran, dokumen identitas, dan dalam beberapa kasus bahkan data kriminal dan medis pengemudi.
“Selama lebih dari 2 tahun, Uber mentransfer data tersebut ke kantor pusat Uber di AS, tanpa menggunakan alat transferOleh karena itu, perlindungan data pribadi tidaklah memadai,” tulisnya.
Uber tidak senang dengan hukuman tersebut. Perusahaan itu membantah telah melakukan pelanggaran dan telah berjanji untuk mengajukan banding terhadap hukuman tersebut di pengadilan.
Juru bicara Uber Caspar Nixon mengirim pernyataan melalui email kepada TechCrunch yang di dalamnya perusahaan tersebut menulis: “Keputusan yang cacat dan denda yang luar biasa ini sama sekali tidak dapat dibenarkan. Proses transfer data lintas batas Uber mematuhi GDPR selama periode 3 tahun ketidakpastian yang sangat besar antara UE dan AS. Kami akan mengajukan banding dan tetap yakin bahwa akal sehat akan menang.”
Perusahaan itu mengklaim telah mencari arahan dari AP selama periode tidak adanya kesepakatan transfer data tingkat tinggi antara UE dan AS, tetapi mengatakan regulator tidak memberikan kejelasan apa pun bahwa ada masalah dengan prosesnya.
AP menyatakan Uber telah mematuhi aturan sejak akhir tahun lalu ketika mulai menggunakan pengganti Privacy Shield. Uber mengklaim proses yang sekarang dianggap patuh menurut kerangka kerja transfer data baru ini sama dengan yang digunakan sebelumnya. Jadi, pada dasarnya, argumennya adalah bahwa tujuan hukum telah berubah.
Namun, selama periode ketika tidak ada kesepakatan transfer tingkat tinggi antara UE dan AS, regulator privasi blok tersebut memperingatkan perusahaan bahwa mereka bertanggung jawab untuk memastikan setiap ekspor data mematuhi aturan.
Panduan Dewan Perlindungan Data Eropa dari periode ini memberikan informasi tentang tindakan tambahan yang menurut pengawas data mungkin perlu diterapkan perusahaan untuk meningkatkan tingkat perlindungan pada ekspor data guna memastikan arus data mereka mematuhi GDPR — seperti beralih ke lokalisasi data atau menerapkan bentuk enkripsi 'akses nol' yang berarti data yang diekspor tidak dapat diakses.
Juru bicara Uber tidak dapat segera mengonfirmasi apakah pihaknya menerapkan tindakan tambahan tersebut selama periode tersebut.
