नीदरलैंड्स डेटा प्रोटेक्शन अथॉरिटी ने ड्राइवर डेटा अमेरिका भेजने पर Uber पर 290 मिलियन यूरो का जुर्माना लगाया
(autoriteitpersoonsgegevens.nl)- नीदरलैंड्स डेटा प्रोटेक्शन अथॉरिटी (DPA) ने माना कि Uber ने यूरोपीय टैक्सी ड्राइवरों का व्यक्तिगत डेटा अमेरिका भेजते समय आवश्यक सुरक्षा उपाय नहीं अपनाए, इसलिए यह GDPR का गंभीर उल्लंघन है
- भेजे गए डेटा में अकाउंट जानकारी, टैक्सी लाइसेंस, लोकेशन डेटा, फ़ोटो, पेमेंट जानकारी, पहचान दस्तावेज़, और कुछ ड्राइवरों का आपराधिक व मेडिकल डेटा भी शामिल था
- Uber ने 2 साल से अधिक समय तक डेटा अमेरिकी मुख्यालय को भेजा, और अगस्त 2021 से Standard Contractual Clauses का उपयोग नहीं किया, इसलिए EU ड्राइवर डेटा की पर्याप्त सुरक्षा नहीं मानी गई
- यह जांच 170 से अधिक फ़्रांसीसी ड्राइवरों की शिकायत से शुरू हुई, और Uber का यूरोपीय मुख्यालय नीदरलैंड्स में होने के कारण नीदरलैंड्स DPA ने फ़्रांस DPA और अन्य यूरोपीय DPA के साथ समन्वय किया
- Uber ने उल्लंघन समाप्त कर दिया है और पिछले साल के अंत से Privacy Shield के उत्तराधिकारी ढांचे का उपयोग कर रहा है, लेकिन 290 मिलियन यूरो के जुर्माने पर आपत्ति दर्ज कराने की मंशा जताई है
Uber पर GDPR उल्लंघन का निष्कर्ष
- नीदरलैंड्स DPA ने माना कि Uber यूरोपीय टैक्सी ड्राइवरों का व्यक्तिगत डेटा अमेरिका भेजते समय GDPR द्वारा अपेक्षित सुरक्षा स्तर सुनिश्चित नहीं कर पाया
- संबंधित डेटा अमेरिकी सर्वरों में संग्रहीत था, और इसकी सीमा सिर्फ सामान्य अकाउंट जानकारी तक सीमित नहीं थी
- अकाउंट जानकारी और टैक्सी लाइसेंस
- लोकेशन डेटा, फ़ोटो, पेमेंट जानकारी, पहचान दस्तावेज़
- कुछ ड्राइवरों का आपराधिक डेटा और मेडिकल डेटा
- नीदरलैंड्स DPA के चेयर Aleid Wolfsen ने कहा कि यूरोप के बाहर व्यक्तिगत डेटा की सुरक्षा अपने आप सुनिश्चित नहीं होती, और यूरोपियों का व्यक्तिगत डेटा EU के बाहर स्टोर करने वाली कंपनियों को आमतौर पर अतिरिक्त कदम उठाने पड़ते हैं
- Uber ने अमेरिका ट्रांसफर से जुड़ा उल्लंघन अब समाप्त कर दिया है
अंतरराष्ट्रीय डेटा ट्रांसफर नियम और जांच की पृष्ठभूमि
- Uber ने 2 साल से अधिक समय तक ड्राइवर डेटा अमेरिकी मुख्यालय को भेजते हुए transfer tools का उपयोग नहीं किया, और इसी वजह से व्यक्तिगत डेटा की सुरक्षा पर्याप्त नहीं मानी गई
- EU Court of Justice ने 2020 में EU-US Privacy Shield को अमान्य कर दिया था
- Standard Contractual Clauses EU के बाहर देशों में डेटा ट्रांसफर का आधार बन सकती हैं
- हालांकि, वास्तव में समान स्तर की सुरक्षा सुनिश्चित करने में सक्षम होना चाहिए
- Uber ने अगस्त 2021 से Standard Contractual Clauses का उपयोग बंद कर दिया था, और पिछले साल के अंत से Privacy Shield के उत्तराधिकारी ढांचे का उपयोग कर रहा है
- जांच तब शुरू हुई जब 170 से अधिक फ़्रांसीसी ड्राइवरों ने फ़्रांसीसी मानवाधिकार संगठन Ligue des droits de l’Homme(LDH) में शिकायत की, जिसके बाद LDH ने फ़्रांस DPA में औपचारिक शिकायत दायर की
- GDPR के one-stop-shop सिद्धांत के अनुसार, कई EU सदस्य देशों में डेटा प्रोसेस करने वाली कंपनियां उस देश की DPA से डील करती हैं जहां उनका मुख्य व्यवसायिक प्रतिष्ठान स्थित होता है
- Uber का यूरोपीय मुख्यालय नीदरलैंड्स में है
- नीदरलैंड्स DPA ने फ़्रांस DPA के साथ क़रीबी सहयोग किया और अन्य यूरोपीय DPA के साथ निर्णय का समन्वय किया
जुर्माने का आकार और Uber पर पहले की कार्रवाई
- यूरोपीय DPA द्वारा कंपनियों पर लगाए जाने वाले जुर्माने एक समान तरीके से तय किए जाते हैं, और अधिकतम सीमा कंपनी के वैश्विक वार्षिक राजस्व का 4% है
- Uber का 2023 का वैश्विक राजस्व लगभग 34.5 बिलियन यूरो था
- Uber ने इस 290 मिलियन यूरो के जुर्माने पर आपत्ति दर्ज कराने की मंशा जताई है
- यह मामला नीदरलैंड्स DPA द्वारा Uber पर लगाया गया तीसरा जुर्माना है
- 2018 के डेटा ब्रीच से संबंधित 600,000 यूरो का जुर्माना लगाया गया था
- 2023 में व्यक्तिगत डेटा नियमों के उल्लंघन पर 10 मिलियन यूरो का जुर्माना लगाया गया, और Uber ने इस जुर्माने पर भी आपत्ति जताई
1 टिप्पणियां
Hacker News की राय
दिलचस्प बात यह है कि कम-से-कम banking side में अमेरिकी डेटा लगभग हमेशा अमेरिका के बाहर के लोग manage करते हैं
servers अमेरिका में हो सकते हैं, लेकिन access करने वाले लोग यूरोप या भारत में होने की संभावना ज़्यादा होती है
access के दौरान data अस्थायी रूप से उस तरफ मौजूद हो जाता है, इसलिए अमेरिका को भी इस हिस्से पर ज़्यादा मजबूत कानूनों की जरूरत है
मुझे वह दौर पसंद था जब पुराना internet सीमाओं से ज्यादा प्रभावित न होने वाला दुनिया भर के computers का network लगता था, इसलिए internet पर भी आखिरकार borders मायने रखते हैं—इस assumption को स्वाभाविक मान लेना थोड़ा अजीब लगता है
0x62 की explanation मददगार रही: https://news.ycombinator.com/item?id=41357888
suppliers के recursively उलझे हुए structure के बारे में मैंने सोचा ही नहीं था
आप पूरी तरह निर्दोष हों, तब भी यही लागू होता है
जहां तक मुझे पता है, GDPR उस data को cover नहीं करता, इसलिए borders cross करना ठीक है
समस्या EU citizens के GDPR-protected data की है, जिसे law enforcement जैसी खास exceptions के अलावा non-EU border पार करने की अनुमति नहीं है
अगर भारत का employee अमेरिका में रखे data को देखता है, तो screen पर दिखने के पल data भारत पहुंच गया—यह साफ है—फिर भी formal तौर पर इसे अमेरिका से भारत transfer हुआ नहीं माना जा सकता
अहम बात यह है कि controller या processor किस legal jurisdiction के तहत है, और अगर data किसी दूसरे jurisdiction के processor को भेजा जाता है तो वह transfer बन जाता है
एक दूसरे article(https://nos.nl/l/2534629, Dutch) में Uber दावा करता है कि वह Autoriteit Persoonsgegevens के साथ “अस्पष्ट कानून” पर चर्चा करता रहा है
iOS translation के मुताबिक, Uber spokesperson ने बताया कि privacy rules की अस्पष्टता के कारण Uber ने सीधे AP से संपर्क किया था, और उस समय regulator ने यह नहीं कहा था कि Uber rules का उल्लंघन कर रहा है
लेकिन अगर मजबूत legal team वाली कोई अमीर company इस बात को लेकर sure नहीं है कि कुछ allowed है या नहीं, तो इससे उसे वह काम करने का अधिकार नहीं मिल जाता
fines भी इतने बड़े ही होने चाहिए। fine सिर्फ business cost नहीं बनना चाहिए, और rules का पालन करना shareholders से लेकर नीचे तक सभी की चिंता बननी चाहिए
“पिछले साल के अंत से Uber Privacy Shield के successor framework का इस्तेमाल करता है” वाली बात देखकर, जिस तरह ऐसे frameworks बार-बार ढहते रहे हैं, लगता है बाद में फिर दोषी ठहराया जाएगा
EU Commission इस हिस्से को ठीक से handle नहीं कर रहा है
और इस framework compliance की “certification” भी शुरू कर दी है: https://www.dataprivacyframework.gov/list
इसलिए हर data protection authority इस नए framework के लिए GDPR के तहत adequacy पर EC की interpretation का पालन कर सकती है
हालांकि Schrems पहले ही कह चुका है कि वह इस framework को challenge करेगा, इसलिए uncertainty काफी है
uncertainty के बिना “safe” option सिर्फ यही दिखता है कि सारे systems इस तरह design किए जाएं कि data अमेरिका से होकर न गुजरे, और न ही अमेरिका स्थित parent company के तहत subsidiary की storage में जाए
Netherlands में Uber पर fine लगना थोड़ा मजाकिया है। local level पर regular taxis protected हैं, इसलिए Uber लगभग दिखता ही नहीं
मेरे पास exact data नहीं है, लेकिन अगर यह resident per कम-से-कम 15 euro के आसपास है तो बहुत बड़ा fine है, और driver per शायद 25,000 euro के आसपास हो सकता है
ऐसा लगता है जैसे Dutch regulator कह रहा हो, “बस यहां से निकल क्यों नहीं जाते?”, और Uber को भी शायद ऐसा ही महसूस होता होगा
French privacy regulator को मिली complaint Dutch side को transfer की गई थी
fine Dutch regulator ने लगाया, लेकिन investigation France में शुरू हुई थी, और जून 2020 में 21 French Uber drivers ने human rights group Ligue Des Droits De L'homme Et Du Citoyen से संपर्क किया था
इसके बाद 151 और Uber drivers complaint में शामिल हुए, और LDH ने इसे French privacy regulator CNIL के पास ले गया; CNIL ने Uber का European headquarters Netherlands में होने के कारण जनवरी 2021 में इसे Dutch Data Protection Authority को भेज दिया
क्योंकि उसे यहां का tax system पसंद है
DPA के मुताबिक appeal process में करीब 4 साल लगेंगे, इसलिए असल में यह 4 साल की appeal होगी
Europe की सभी data protection authorities corporate fine amount की calculation एक ही तरीके से करती हैं, और कंपनी के global annual revenue का अधिकतम 4% तक लगा सकती हैं
डच DPA ने Uber की जांच इसलिए शुरू की क्योंकि 170 से ज़्यादा फ्रांसीसी ड्राइवरों ने फ्रांसीसी मानवाधिकार संगठन LDH से शिकायत की थी, और LDH ने उसे फ्रांसीसी DPA को सौंपा था
उत्सुकता है कि शुरुआत में ड्राइवरों को किस आधार पर शक हुआ होगा
व्यक्तिगत रूप से, बहुत पहले मेरा एक अमेरिकी संगठन से संबंध रहा था, और बाद में मैं इसे पूरी तरह भूल गया था
लगभग 15 साल बाद वॉशिंगटन मुख्यालय के पते से ईमेल स्पैम आने लगा, और मैंने रोकने को कहा, लेकिन यह नहीं रुका
जब मैंने GDPR के तहत कानूनी कार्रवाई और डिलीशन का अनुरोध किया, तो उन्होंने जवाब दिया कि उन्होंने अनुपालन किया है, लेकिन 1 साल बाद उसी पते से फिर स्पैम आया
इसलिए मुझे पता चला कि उन्होंने मेरी जानकारी हटाई नहीं थी और उसे अमेरिका में स्टोर कर रखा था
उत्सुकता है कि यह मामला EU–US Data Privacy Framework से कैसे जुड़ता है
मेरी समझ थी कि यह framework EU–US Privacy Shield का replacement है, जिसका मकसद ऐसे transfer की अनुमति देना था, इसलिए Privacy Shield के दौर यानी 2020 से पहले यह समस्या नहीं रहा होगा
क्या मैं गलत समझ रहा हूं?
Privacy Shield को 2020 में अमान्य कर दिया गया था, और valid transfer mechanism के रूप में सिर्फ़ standard contractual clauses बचे थे
Uber ने 2023 में नया privacy framework अपनाने से पहले, अगस्त 2021 में standard contractual clauses का इस्तेमाल बंद कर दिया था, और 2 साल तक बेहद संवेदनशील जानकारी को किसी valid तरीके के बिना transfer किया
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
मूल रूप से Framework भी पुराने Shield की तरह Commission की यह दिखाने की कोशिश है कि “देखिए, हमने इसे ठीक कर दिया”
दुर्भाग्य से, पिछले दोनों मौकों पर ECJ ने बाद में माना कि अमेरिका के data privacy कानूनों की कमी को किसी framework से ठीक नहीं किया जा सकता, और Shield भी अपने predecessor की तरह जिन अधिकारों का दावा करता था, उन्हें असल में अनुमति नहीं देता था
इस बार का Framework अभी ECJ में परखा नहीं गया है, लेकिन अमेरिकी कानून में कोई बड़ा बदलाव भी नहीं हुआ है, इसलिए नतीजा साफ़ दिखता है
हम भाग्यशाली थे कि हमने वह छोटा-सा दौर देखा जब इंटरनेट सच में पूरी दुनिया का नेटवर्क था
नीदरलैंड या नाइजीरिया[1] में बैठा व्यक्ति दुनिया की बेहतरीन tech services इस्तेमाल कर सकता था, और लोग सीमाओं के पार अपेक्षाकृत आज़ादी से interact कर सकते थे
लेकिन अब यह खत्म होने की ओर है। हर जागीर अपना हिस्सा और अपनी आवाज़ चाहती है, जिससे इंटरनेट का global network बने रहना मुश्किल होता जा रहा है
जब तक चला, मज़ा आया
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
अगर कंपनी सम्मानजनक तरीके से काम करे, तो डरने की कोई बात नहीं और वह दुनिया भर में आसानी से business कर सकती है
समस्या तब पैदा होती है जब वह शुरू से ही गैरकानूनी होने चाहिए थे ऐसे संदिग्ध काम करती है
असली बात यह है कि अमेरिकी कानून सबसे ढीले हैं, इसलिए नागरिकों की privacy के उल्लंघन की काफी छूट देते हैं, और इसी वजह से कंपनियों को अब लगता है कि उन्हें बेवजह रोका जा रहा है
अगर अमेरिकी कानून ज्यादा सख्त होते, तो यह समस्या नहीं होती और कोई इस बारे में बात भी नहीं कर रहा होता
सिर्फ कंपनी की अपनी मर्ज़ी से काम करने की आज़ादी पर ध्यान देना बहुत ही अल्पदृष्टि और अमेरिका-केंद्रित सोच है। बिना surveillance के जीने की users की आज़ादी का क्या?
network effects इतने बड़े हैं कि “पसंद नहीं है तो कहीं और चले जाओ” वाली free-market दलील ठीक से लागू नहीं होती, और बाहर से यह जानना मुश्किल है कि data कैसे process किया जाता है, इसलिए transparency की समस्या भी बड़ी है
खासकर जब हर कंपनी data को अपनी संपत्ति और cash cow की तरह treat कर रही है
क्या इसे भी “जागीरें अपना हिस्सा और अपनी आवाज़ चाहती हैं” कहा जाएगा? क्या आप कानून की अवधारणा के ही खिलाफ हैं?
शायद British Empire के अंत के समय कोई अज्ञानी व्यक्ति भी कुछ ऐसा ही कहता होगा
या उस network में शामिल कंपनियों को network को दीवारों के भीतर बंद करने में अपना हित दिखा हो?[2][3]
या फिर वह global network कुछ dominant players द्वारा इतना ज्यादा बदल दिया गया हो कि बाहरी regulation की जरूरत पड़ गई हो?[4][5]
बेशक नहीं। यह industry के बड़े पैमाने के दुरुपयोग की प्रतिक्रिया नहीं, बस स्थानीय सामंतों की थोड़ी-सी ताकत बटोरने की कोशिश ही होगी
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
आज़ादी क्या है? GPL है, BSD है, मुक्का घुमाना है, या नाक पर मुक्का न लगना?
appeal प्रक्रिया में करीब 4 साल लगेंगे और सभी कानूनी remedies खत्म होने तक जुर्माना स्थगित रहेगा, तो लगता है यह मामला 4 साल बाद फिर सुनने को मिलेगा
Uber इसे “यूरोप में business करने की लागत” के तौर पर मानेगा और कीमतों में markup के रूप में जोड़ देगा
पिछले कुछ वर्षों में EU द्वारा अमेरिकी tech कंपनियों पर लगाए गए जुर्मानों की कुल राशि 14.8 अरब डॉलर हो गई है: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
यह Substack काफी अच्छा है, और साफ दिखाता है कि अमेरिकी tech कंपनियां जल्द ही यूरोप नहीं छोड़ेंगी, लेकिन इस संबंध में उनके पास कहीं ज्यादा ताकत है
regulators अपना हाथ जरूरत से ज्यादा खेल रहे हैं
अगर अमेरिकी Big Tech यूरोप से पीछे हट भी जाए, तो short term को छोड़कर स्थानीय market के लिए यह अच्छा भी हो सकता है
उनसे मुकाबला करना बेहद मुश्किल है, और अमेरिकी domestic market में भी यही हाल है
EU जैसे बड़े market से अगर वे गायब हो जाएं, तो competition शुरू होने की संभावना ज्यादा है
भले ही मान लें कि EU में बिल्कुल क्षमता नहीं है, लेकिन यह देखते हुए कि अभी का सबसे अच्छा image generation model और काफी अच्छे open source LLMs EU से आए हैं, यह assumption बहुत अवास्तविक है
इसके अलावा यूरोप के कई देशों, खासकर Eastern Europe में बेहतरीन tech talent है, और चीनी कंपनियां भी तुरंत कूद पड़ेंगी
इसलिए यूरोप के नजरिए से यह अब भी बहुत खराब सौदा है