Pengawas perlindungan data Belanda mengatakan pada hari Senin bahwa pihaknya telah mendenda aplikasi ride-hailing Uber sebesar 290 juta euro ($324 juta) karena mentransfer data pribadi pengemudi Eropa ke server AS.
Regulator mengatakan transfer tersebut merupakan “pelanggaran serius” terhadap Peraturan Perlindungan Data Umum (GDPR) UE karena gagal melindungi informasi pengemudi dengan baik.
Aleid Wolfsen, ketua Otoritas Perlindungan Data Belanda (DPA), mengatakan dalam sebuah pernyataan: “Uber belum memenuhi persyaratan GDPR untuk memastikan tingkat perlindungan data yang ditransfer ke Amerika Serikat. Ini sangat serius.
DPA mengatakan Uber mengumpulkan informasi sensitif dari pengemudi di Eropa, termasuk izin taksi, data lokasi, foto, rincian pembayaran, dokumen identitas dan “dalam beberapa kasus bahkan data kriminal dan medis tentang pengemudi”.
DPA mengatakan bahwa dalam periode dua tahun, informasi tersebut dikirimkan ke kantor pusat Uber di AS tanpa menggunakan alat transmisi.
“Akibatnya, perlindungan data pribadi tidak memadai,” kata DPA.
Uber mengatakan akan mengajukan banding atas denda tersebut.
“Keputusan yang cacat dan denda yang besar ini sepenuhnya tidak dapat dibenarkan,” kata juru bicara Uber dalam sebuah pernyataan.
Pernyataan tersebut berbunyi: “Selama periode tiga tahun yang penuh ketidakpastian antara UE dan AS, proses transfer data lintas batas Uber mematuhi GDPR. Kami akan mengajukan banding dan percaya bahwa akal sehat akan menang.”
Dalam beberapa tahun terakhir, Uni Eropa telah memperkenalkan serangkaian peraturan bagi perusahaan teknologi besar dan mengenakan denda besar bagi mereka yang tidak mematuhinya.
DPA mengatakan pihaknya memulai penyelidikan setelah lebih dari 170 pengemudi Perancis mengajukan pengaduan kepada kepentingan hak asasi manusia Perancis, yang kemudian mengadu kepada pengawas perlindungan data Perancis.
Berdasarkan GDPR, perusahaan yang memproses data di beberapa negara UE harus berurusan dengan otoritas perlindungan data di tempat kantor pusat mereka berada. Kantor pusat Uber di Eropa berada di Belanda.
“Di Eropa, GDPR mewajibkan dunia usaha dan pemerintah untuk menangani data pribadi dengan hati-hati guna melindungi hak-hak dasar masyarakat,” kata Wolfson.
“Namun sayangnya, hal ini tidak terjadi dengan sendirinya di luar Eropa,” katanya.
“Pikirkan pemerintah yang bisa mengeksploitasi data dalam skala besar. Itu sebabnya perusahaan pada umumnya wajib mengambil langkah ekstra jika mereka menyimpan data pribadi orang Eropa di luar UE.”
Ini merupakan denda ketiga yang dijatuhkan kepada Uber oleh DPA, menyusul denda sebesar 600.000 euro pada tahun 2018 dan 10 juta euro pada tahun lalu.