Lý do chính là việc Uber đã chuyển dữ liệu cá nhân từ Khu vực Kinh tế châu Âu (EEA) sang các máy chủ tại Mỹ mà không có biện pháp bảo vệ thích hợp, vi phạm Chương V của GDPR.
Vụ vi phạm thứ ba của Uber tại Hà Lan
Đây là lần thứ ba Uber bị Cơ quan Bảo vệ Dữ liệu Hà Lan xử phạt hành chính. Lần đầu tiên là vào tháng 11/2018 với mức phạt 600.000 Euro vì thiếu kiểm soát truy cập dữ liệu. Lần thứ hai vào tháng 1/2024 với mức phạt 10 triệu Euro do những vấn đề không minh bạch trong quản lý dữ liệu của Uber liên quan đến thông tin người dùng tại châu Âu.
Cuộc điều tra lần này của AP bắt nguồn từ các khiếu nại của các tài xế người Pháp, sau đó được chuyển lên AP bởi Cơ quan Bảo vệ Dữ liệu Pháp (CNIL). Vụ việc được chú ý nhiều hơn sau phán quyết Schrems II của Tòa án Công lý Liên minh châu Âu đã làm mất hiệu lực "Privacy Shield" giữa EU và Mỹ vì những tiêu chuẩn bảo vệ dữ liệu tại Mỹ không đủ mạnh.
Vi phạm của Uber và hậu quả
Mặc dù phán quyết Schrems II đã đưa ra, Uber vẫn tiếp tục chuyển dữ liệu cá nhân sang Mỹ mà không áp dụng các Điều khoản Hợp đồng Chuẩn (SCC) hay các biện pháp bảo vệ khác. Điều này đã vi phạm Điều 44 của GDPR yêu cầu mọi hoạt động chuyển dữ liệu sang các nước thứ ba phải đảm bảo mức độ bảo vệ tương đương như trong EU.
Vi phạm này tương tự với những vụ việc khác trong EU, điển hình là khoản phạt kỷ lục 1,3 tỷ USD mà Meta (Facebook) đã phải chịu từ Ủy ban Bảo vệ Dữ liệu Ireland (DPC) cũng vì hành vi chuyển dữ liệu không bảo mật sang Mỹ. Gần đây hơn, bốn công ty khác cũng đã bị phạt 1,1 triệu USD bởi Cơ quan Bảo vệ Quyền riêng tư Thụy Điển (IMY) vì vi phạm tương tự khi sử dụng Google Analytics.
:max_bytes(150000):strip_icc()/INV_UberHQ_GettyImages-1767540087-acf31fa021bf4dc99c93c0d264e00e06.jpg)
Phản hồi từ Uber
Uber đã phủ nhận việc vi phạm và cho rằng Chương V của GDPR không áp dụng trong trường hợp này, vì Điều 3 của GDPR đã mở rộng bảo vệ tới cả các hoạt động xử lý dữ liệu tại Mỹ. Công ty cũng cho biết việc chuyển dữ liệu không thực sự diễn ra như định nghĩa trong GDPR bởi dữ liệu của tài xế được gửi trực tiếp tới các máy chủ tại Mỹ thông qua ứng dụng của Uber.
Tuy nhiên, AP đã bác bỏ những lý luận này và vẫn tiến hành áp dụng mức phạt "khủng", Uber đã tuyên bố sẽ kháng cáo và cho rằng quyết định này là không hợp lý. Quá trình kháng cáo có thể kéo dài đến 4 năm, trong thời gian đó khoản phạt sẽ bị đình chỉ.
Bảo vệ dữ liệu cá nhân tại Việt Nam
Tại Việt Nam, vấn đề bảo vệ dữ liệu cá nhân cũng đang trở nên ngày càng cấp thiết. Nghị định 13 về bảo vệ dữ liệu cá nhân vừa được ban hành đã đặt ra nhiều quy định khắt khe yêu cầu các doanh nghiệp phải tuân thủ nghiêm ngặt. Tương tự như GDPR tại châu Âu, Nghị định này nhằm bảo vệ quyền riêng tư của người dùng và yêu cầu các doanh nghiệp phải đảm bảo dữ liệu cá nhân được lưu trữ và xử lý một cách an toàn.
Qua bài học từ vi phạm của Uber, các doanh nghiệp tại Việt Nam cần đặc biệt chú ý đến việc tuân thủ các quy định này, nhất là trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ. Việc không tuân thủ đúng quy định có thể dẫn đến những khoản phạt nặng nề và làm sụt giảm uy tín của doanh nghiệp trên thị trường.
Nguồn: Tổng hợp
