Yango: 100 εκατ. ευρώ πρόστιμο για διαβιβάσεις δεδομένων στη Ρωσία

Πρόστιμο ύψους 100 εκατομμυρίων ευρώ επέβαλε η ολλανδική αρχή προστασίας δεδομένων Autoriteit Persoonsgegevens (AP) στην εταιρεία MLU B.V. για τη διαβίβαση προσωπικών δεδομένων στη Ρωσία. Η MLU είναι η εταιρεία πίσω από την ευρωπαϊκή έκδοση της εφαρμογής ταξί Yango και εδρεύει στην Ολλανδία.

Στη Νορβηγία και τη Φινλανδία, οι άνθρωποι χρησιμοποιούν το Yango για να κλείνουν διαδρομές ταξί με συνεργαζόμενους οδηγούς. Στη συνέχεια, το Yango διαβιβάζει προσωπικά δεδομένα οδηγών ταξί και πελατών σε εταιρείες στη Ρωσία. Κατά τη διαδικασία αυτή, η MLU δεν διασφαλίζει επαρκή προστασία των δεδομένων. Αυτό προέκυψε από έρευνα για το Yango που διεξήγαγε η AP μαζί με τη νορβηγική και τη φινλανδική αρχή προστασίας δεδομένων.

Η AP ξεκίνησε την έρευνα στα τέλη του 2023, ως επικεφαλής εποπτική αρχή, καθώς η MLU εδρεύει στην Ολλανδία. Στην έρευνα αυτή ενεπλάκησαν ενεργά, ως ενδιαφερόμενες εποπτικές αρχές, οι αρχές προστασίας δεδομένων των δύο χωρών στις οποίες βρίσκονται τα υποκείμενα των δεδομένων.

Από την έρευνα προέκυψε ότι η εφαρμογή ταξί συνέλεγε και αποθήκευε σε διακομιστές στη Ρωσία μεγάλο όγκο προσωπικών δεδομένων, τόσο πελατών όσο και οδηγών, συμπεριλαμβανομένων ευαίσθητων δεδομένων. Πρόκειται, για παράδειγμα, για σαρώσεις αδειών οδήγησης, διευθύνσεις κατοικίας, στοιχεία επικοινωνίας, αριθμούς τραπεζικών λογαριασμών, ακριβείς τοποθεσίες, δεδομένα διαδρομών, φωτογραφίες, το περιεχόμενο συνομιλιών μέσω chat και αριθμούς κοινωνικής ασφάλισης.

Στην Ευρώπη, η προστασία των προσωπικών δεδομένων ρυθμίζεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων. Οι εταιρείες επιτρέπεται να διαβιβάζουν προσωπικά δεδομένα εκτός ΕΟΧ, μόνον εφόσον τα προσωπικά δεδομένα προστατεύονται εκεί εξίσου καλά όπως στην Ευρώπη, για παράδειγμα μέσω κατάλληλων εγγυήσεων.

Ο πρόεδρος της AP, Aleid Wolfsen, δήλωσε: «Στη Ρωσία, τα προσωπικά δεδομένα δεν προστατεύονται τόσο καλά όσο στην Ευρώπη. Έτσι, η ρωσική κυβέρνηση ενδέχεται να αποκτήσει πρόσβαση σε αυτά τα δεδομένα. Γι’ αυτό τα ευαίσθητα δεδομένα τόσο των πελατών όσο και των οδηγών θα έπρεπε να είχαν προστατευθεί πολύ καλύτερα, ιδίως δεδομένης της απουσίας ανεξάρτητης εποπτικής αρχής προστασίας της ιδιωτικότητας στη Ρωσία. Διαπιστώσαμε ότι αυτό δεν συνέβη επαρκώς, και αυτό είναι σοβαρό».

Η MLU έλαβε την εντολή να σταματήσει αμέσως τη διαβίβαση προσωπικών δεδομένων ανθρώπων από τη Νορβηγία και τη Φινλανδία προς τη Ρωσία μέσω της εφαρμογής Yango.

Κατά τον υπολογισμό του ύψους του προστίμου, η AP έλαβε υπόψη την ετήσια παγκόσμια κύκλο εργασιών της μητρικής εταιρείας της MLU, της Ridetech International B.V.