Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers’ data to the US

네덜란드 데이터 프라이버시 규제 기관이 우버(Uber)에 2억 9천만 유로(약 4,100억 원)의 벌금을 부과했다. 이는 우버가 일부 운전자 데이터를 미국 서버에 저장했기 때문이다.

네덜란드 DPA는 Uber가 유럽 운전자의 민감한 정보를 수집하여 미국 서버에 보관했다는 사실을 발견했습니다. 계정 세부 정보와 택시 면허증에 관한 것이지만, 위치 데이터, 사진, 결제 세부 정보, 신분증, 어떤 경우에는 운전자의 범죄 및 의료 데이터도 포함됩니다.

2년 이상 동안 Uber는 전송 도구를 사용하지 않고 해당 데이터를 미국에 있는 Uber 본사로 전송했습니다 . 이로 인해 개인 데이터 보호가 충분하지 않았습니다. EU 사법 재판소는 2020년에 EU-US Privacy Shield를 무효화했습니다. 

법원에 따르면, 표준 계약 조항은 여전히 ​​EU 외부 국가로 데이터를 전송하는 데 유효한 근거를 제공할 수 있지만, 이는 실무적으로 동일한 수준의 보호를 보장할 수 있는 경우에만 가능합니다. 

네덜란드 DPA에 따르면 Uber는 2021년 8월부터 표준 계약 조항을 더 이상 사용하지 않았기 때문에 EU 운전자의 데이터가 충분히 보호되지 않았습니다. 작년 말부터 Uber는 Privacy Shield의 후속 조항을 사용합니다.

클라우드 인프라 기반으로 글로벌 서비스를 하는 IT기업이 GDPR 규정을 준수한다는게 쉬운 일은 아닌 것 같다. 참고로 Privacy Shield의 경우 EU 시민들의 개인정보를 미국으로 전송할 때 적절한 보호 수준을 보장하는 것이 목적이었으나 2020년 유럽사법재판소에서 이를 무효화한 이후에 새로운 방식을 재검토하고 대안을 모색해야하는 상황으로 안다.