1 पॉइंट द्वारा GN⁺ 2024-08-27 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • नीदरलैंड्स डेटा प्रोटेक्शन अथॉरिटी (DPA) ने माना कि Uber ने यूरोपीय टैक्सी ड्राइवरों का व्यक्तिगत डेटा अमेरिका भेजते समय आवश्यक सुरक्षा उपाय नहीं अपनाए, इसलिए यह GDPR का गंभीर उल्लंघन है
  • भेजे गए डेटा में अकाउंट जानकारी, टैक्सी लाइसेंस, लोकेशन डेटा, फ़ोटो, पेमेंट जानकारी, पहचान दस्तावेज़, और कुछ ड्राइवरों का आपराधिक व मेडिकल डेटा भी शामिल था
  • Uber ने 2 साल से अधिक समय तक डेटा अमेरिकी मुख्यालय को भेजा, और अगस्त 2021 से Standard Contractual Clauses का उपयोग नहीं किया, इसलिए EU ड्राइवर डेटा की पर्याप्त सुरक्षा नहीं मानी गई
  • यह जांच 170 से अधिक फ़्रांसीसी ड्राइवरों की शिकायत से शुरू हुई, और Uber का यूरोपीय मुख्यालय नीदरलैंड्स में होने के कारण नीदरलैंड्स DPA ने फ़्रांस DPA और अन्य यूरोपीय DPA के साथ समन्वय किया
  • Uber ने उल्लंघन समाप्त कर दिया है और पिछले साल के अंत से Privacy Shield के उत्तराधिकारी ढांचे का उपयोग कर रहा है, लेकिन 290 मिलियन यूरो के जुर्माने पर आपत्ति दर्ज कराने की मंशा जताई है

Uber पर GDPR उल्लंघन का निष्कर्ष

  • नीदरलैंड्स DPA ने माना कि Uber यूरोपीय टैक्सी ड्राइवरों का व्यक्तिगत डेटा अमेरिका भेजते समय GDPR द्वारा अपेक्षित सुरक्षा स्तर सुनिश्चित नहीं कर पाया
  • संबंधित डेटा अमेरिकी सर्वरों में संग्रहीत था, और इसकी सीमा सिर्फ सामान्य अकाउंट जानकारी तक सीमित नहीं थी
    • अकाउंट जानकारी और टैक्सी लाइसेंस
    • लोकेशन डेटा, फ़ोटो, पेमेंट जानकारी, पहचान दस्तावेज़
    • कुछ ड्राइवरों का आपराधिक डेटा और मेडिकल डेटा
  • नीदरलैंड्स DPA के चेयर Aleid Wolfsen ने कहा कि यूरोप के बाहर व्यक्तिगत डेटा की सुरक्षा अपने आप सुनिश्चित नहीं होती, और यूरोपियों का व्यक्तिगत डेटा EU के बाहर स्टोर करने वाली कंपनियों को आमतौर पर अतिरिक्त कदम उठाने पड़ते हैं
  • Uber ने अमेरिका ट्रांसफर से जुड़ा उल्लंघन अब समाप्त कर दिया है

अंतरराष्ट्रीय डेटा ट्रांसफर नियम और जांच की पृष्ठभूमि

  • Uber ने 2 साल से अधिक समय तक ड्राइवर डेटा अमेरिकी मुख्यालय को भेजते हुए transfer tools का उपयोग नहीं किया, और इसी वजह से व्यक्तिगत डेटा की सुरक्षा पर्याप्त नहीं मानी गई
  • EU Court of Justice ने 2020 में EU-US Privacy Shield को अमान्य कर दिया था
    • Standard Contractual Clauses EU के बाहर देशों में डेटा ट्रांसफर का आधार बन सकती हैं
    • हालांकि, वास्तव में समान स्तर की सुरक्षा सुनिश्चित करने में सक्षम होना चाहिए
  • Uber ने अगस्त 2021 से Standard Contractual Clauses का उपयोग बंद कर दिया था, और पिछले साल के अंत से Privacy Shield के उत्तराधिकारी ढांचे का उपयोग कर रहा है
  • जांच तब शुरू हुई जब 170 से अधिक फ़्रांसीसी ड्राइवरों ने फ़्रांसीसी मानवाधिकार संगठन Ligue des droits de l’Homme(LDH) में शिकायत की, जिसके बाद LDH ने फ़्रांस DPA में औपचारिक शिकायत दायर की
  • GDPR के one-stop-shop सिद्धांत के अनुसार, कई EU सदस्य देशों में डेटा प्रोसेस करने वाली कंपनियां उस देश की DPA से डील करती हैं जहां उनका मुख्य व्यवसायिक प्रतिष्ठान स्थित होता है
    • Uber का यूरोपीय मुख्यालय नीदरलैंड्स में है
    • नीदरलैंड्स DPA ने फ़्रांस DPA के साथ क़रीबी सहयोग किया और अन्य यूरोपीय DPA के साथ निर्णय का समन्वय किया

जुर्माने का आकार और Uber पर पहले की कार्रवाई

  • यूरोपीय DPA द्वारा कंपनियों पर लगाए जाने वाले जुर्माने एक समान तरीके से तय किए जाते हैं, और अधिकतम सीमा कंपनी के वैश्विक वार्षिक राजस्व का 4% है
    • Uber का 2023 का वैश्विक राजस्व लगभग 34.5 बिलियन यूरो था
    • Uber ने इस 290 मिलियन यूरो के जुर्माने पर आपत्ति दर्ज कराने की मंशा जताई है
  • यह मामला नीदरलैंड्स DPA द्वारा Uber पर लगाया गया तीसरा जुर्माना है

1 टिप्पणियां

 
GN⁺ 2024-08-27
Hacker News की राय
  • दिलचस्प बात यह है कि कम-से-कम banking side में अमेरिकी डेटा लगभग हमेशा अमेरिका के बाहर के लोग manage करते हैं
    servers अमेरिका में हो सकते हैं, लेकिन access करने वाले लोग यूरोप या भारत में होने की संभावना ज़्यादा होती है
    access के दौरान data अस्थायी रूप से उस तरफ मौजूद हो जाता है, इसलिए अमेरिका को भी इस हिस्से पर ज़्यादा मजबूत कानूनों की जरूरत है

    • मुझे समझ नहीं आता कि डेटा stored होने की physical location इतनी महत्वपूर्ण क्यों है
      मुझे वह दौर पसंद था जब पुराना internet सीमाओं से ज्यादा प्रभावित न होने वाला दुनिया भर के computers का network लगता था, इसलिए internet पर भी आखिरकार borders मायने रखते हैं—इस assumption को स्वाभाविक मान लेना थोड़ा अजीब लगता है
      0x62 की explanation मददगार रही: https://news.ycombinator.com/item?id=41357888
      suppliers के recursively उलझे हुए structure के बारे में मैंने सोचा ही नहीं था
    • Apple या Google जैसे servers पर stored data को जरूरत पड़ने पर अमेरिकी authorities बिना consent के access कर सकती हैं
      आप पूरी तरह निर्दोष हों, तब भी यही लागू होता है
    • अमेरिकी नागरिक के अमेरिकी data को यूरोपीय लोगों द्वारा access या process करना शायद समस्या न हो
      जहां तक मुझे पता है, GDPR उस data को cover नहीं करता, इसलिए borders cross करना ठीक है
      समस्या EU citizens के GDPR-protected data की है, जिसे law enforcement जैसी खास exceptions के अलावा non-EU border पार करने की अनुमति नहीं है
    • मैं lawyer नहीं हूं, लेकिन मेरी जानकारी में GDPR में remote access exception है
      अगर भारत का employee अमेरिका में रखे data को देखता है, तो screen पर दिखने के पल data भारत पहुंच गया—यह साफ है—फिर भी formal तौर पर इसे अमेरिका से भारत transfer हुआ नहीं माना जा सकता
    • GDPR में जिस data transfer की बात होती है, उसका geographic location से सीधा संबंध नहीं है
      अहम बात यह है कि controller या processor किस legal jurisdiction के तहत है, और अगर data किसी दूसरे jurisdiction के processor को भेजा जाता है तो वह transfer बन जाता है
  • एक दूसरे article(https://nos.nl/l/2534629, Dutch) में Uber दावा करता है कि वह Autoriteit Persoonsgegevens के साथ “अस्पष्ट कानून” पर चर्चा करता रहा है
    iOS translation के मुताबिक, Uber spokesperson ने बताया कि privacy rules की अस्पष्टता के कारण Uber ने सीधे AP से संपर्क किया था, और उस समय regulator ने यह नहीं कहा था कि Uber rules का उल्लंघन कर रहा है
    लेकिन अगर मजबूत legal team वाली कोई अमीर company इस बात को लेकर sure नहीं है कि कुछ allowed है या नहीं, तो इससे उसे वह काम करने का अधिकार नहीं मिल जाता
    fines भी इतने बड़े ही होने चाहिए। fine सिर्फ business cost नहीं बनना चाहिए, और rules का पालन करना shareholders से लेकर नीचे तक सभी की चिंता बननी चाहिए

  • “पिछले साल के अंत से Uber Privacy Shield के successor framework का इस्तेमाल करता है” वाली बात देखकर, जिस तरह ऐसे frameworks बार-बार ढहते रहे हैं, लगता है बाद में फिर दोषी ठहराया जाएगा
    EU Commission इस हिस्से को ठीक से handle नहीं कर रहा है

    • EC ने नए EU–US Data Privacy Framework पर “adequacy decision” दिया है: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae6...
      और इस framework compliance की “certification” भी शुरू कर दी है: https://www.dataprivacyframework.gov/list
      इसलिए हर data protection authority इस नए framework के लिए GDPR के तहत adequacy पर EC की interpretation का पालन कर सकती है
      हालांकि Schrems पहले ही कह चुका है कि वह इस framework को challenge करेगा, इसलिए uncertainty काफी है
      uncertainty के बिना “safe” option सिर्फ यही दिखता है कि सारे systems इस तरह design किए जाएं कि data अमेरिका से होकर न गुजरे, और न ही अमेरिका स्थित parent company के तहत subsidiary की storage में जाए
  • Netherlands में Uber पर fine लगना थोड़ा मजाकिया है। local level पर regular taxis protected हैं, इसलिए Uber लगभग दिखता ही नहीं
    मेरे पास exact data नहीं है, लेकिन अगर यह resident per कम-से-कम 15 euro के आसपास है तो बहुत बड़ा fine है, और driver per शायद 25,000 euro के आसपास हो सकता है
    ऐसा लगता है जैसे Dutch regulator कह रहा हो, “बस यहां से निकल क्यों नहीं जाते?”, और Uber को भी शायद ऐसा ही महसूस होता होगा

    • Uber Europe का headquarters Netherlands में है, इसलिए fine वहीं लगाया गया
      French privacy regulator को मिली complaint Dutch side को transfer की गई थी
    • पता नहीं आप Dutch हैं या नहीं, लेकिन यहां ज्यादा detail में समझाया गया है: https://tweakers.net/nieuws/225768/uber-krijgt-van-ap-avg-bo...
      fine Dutch regulator ने लगाया, लेकिन investigation France में शुरू हुई थी, और जून 2020 में 21 French Uber drivers ने human rights group Ligue Des Droits De L'homme Et Du Citoyen से संपर्क किया था
      इसके बाद 151 और Uber drivers complaint में शामिल हुए, और LDH ने इसे French privacy regulator CNIL के पास ले गया; CNIL ने Uber का European headquarters Netherlands में होने के कारण जनवरी 2021 में इसे Dutch Data Protection Authority को भेज दिया
    • Uber का headquarters Netherlands में है
      क्योंकि उसे यहां का tax system पसंद है
    • fine appeal खत्म होने तक suspended है
      DPA के मुताबिक appeal process में करीब 4 साल लगेंगे, इसलिए असल में यह 4 साल की appeal होगी
    • यह fine damages नहीं, बल्कि punishment है
      Europe की सभी data protection authorities corporate fine amount की calculation एक ही तरीके से करती हैं, और कंपनी के global annual revenue का अधिकतम 4% तक लगा सकती हैं
  • डच DPA ने Uber की जांच इसलिए शुरू की क्योंकि 170 से ज़्यादा फ्रांसीसी ड्राइवरों ने फ्रांसीसी मानवाधिकार संगठन LDH से शिकायत की थी, और LDH ने उसे फ्रांसीसी DPA को सौंपा था
    उत्सुकता है कि शुरुआत में ड्राइवरों को किस आधार पर शक हुआ होगा

    • हो सकता है उन्होंने सामान्य समझ से अंदाज़ा लगाया हो, या ऐप सीधे अमेरिकी सर्वर से कनेक्ट हुआ हो
    • यह Uber की तरफ़ से साधारण लापरवाही भी हो सकती थी
      व्यक्तिगत रूप से, बहुत पहले मेरा एक अमेरिकी संगठन से संबंध रहा था, और बाद में मैं इसे पूरी तरह भूल गया था
      लगभग 15 साल बाद वॉशिंगटन मुख्यालय के पते से ईमेल स्पैम आने लगा, और मैंने रोकने को कहा, लेकिन यह नहीं रुका
      जब मैंने GDPR के तहत कानूनी कार्रवाई और डिलीशन का अनुरोध किया, तो उन्होंने जवाब दिया कि उन्होंने अनुपालन किया है, लेकिन 1 साल बाद उसी पते से फिर स्पैम आया
      इसलिए मुझे पता चला कि उन्होंने मेरी जानकारी हटाई नहीं थी और उसे अमेरिका में स्टोर कर रखा था
  • उत्सुकता है कि यह मामला EU–US Data Privacy Framework से कैसे जुड़ता है
    मेरी समझ थी कि यह framework EU–US Privacy Shield का replacement है, जिसका मकसद ऐसे transfer की अनुमति देना था, इसलिए Privacy Shield के दौर यानी 2020 से पहले यह समस्या नहीं रहा होगा
    क्या मैं गलत समझ रहा हूं?

    • डच DPA के इस लेख[1] में विवरण है
      Privacy Shield को 2020 में अमान्य कर दिया गया था, और valid transfer mechanism के रूप में सिर्फ़ standard contractual clauses बचे थे
      Uber ने 2023 में नया privacy framework अपनाने से पहले, अगस्त 2021 में standard contractual clauses का इस्तेमाल बंद कर दिया था, और 2 साल तक बेहद संवेदनशील जानकारी को किसी valid तरीके के बिना transfer किया
      [1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
    • वह समझ गलत है
      मूल रूप से Framework भी पुराने Shield की तरह Commission की यह दिखाने की कोशिश है कि “देखिए, हमने इसे ठीक कर दिया”
      दुर्भाग्य से, पिछले दोनों मौकों पर ECJ ने बाद में माना कि अमेरिका के data privacy कानूनों की कमी को किसी framework से ठीक नहीं किया जा सकता, और Shield भी अपने predecessor की तरह जिन अधिकारों का दावा करता था, उन्हें असल में अनुमति नहीं देता था
      इस बार का Framework अभी ECJ में परखा नहीं गया है, लेकिन अमेरिकी कानून में कोई बड़ा बदलाव भी नहीं हुआ है, इसलिए नतीजा साफ़ दिखता है
  • हम भाग्यशाली थे कि हमने वह छोटा-सा दौर देखा जब इंटरनेट सच में पूरी दुनिया का नेटवर्क था
    नीदरलैंड या नाइजीरिया[1] में बैठा व्यक्ति दुनिया की बेहतरीन tech services इस्तेमाल कर सकता था, और लोग सीमाओं के पार अपेक्षाकृत आज़ादी से interact कर सकते थे
    लेकिन अब यह खत्म होने की ओर है। हर जागीर अपना हिस्सा और अपनी आवाज़ चाहती है, जिससे इंटरनेट का global network बने रहना मुश्किल होता जा रहा है
    जब तक चला, मज़ा आया
    [1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...

    • ये कानून अच्छे कारणों से बनाए गए थे, और अमेरिकी tech कंपनियां लंबे समय से लोगों के privacy rights को मनमाने ढंग से रौंदती रही हैं
      अगर कंपनी सम्मानजनक तरीके से काम करे, तो डरने की कोई बात नहीं और वह दुनिया भर में आसानी से business कर सकती है
      समस्या तब पैदा होती है जब वह शुरू से ही गैरकानूनी होने चाहिए थे ऐसे संदिग्ध काम करती है
      असली बात यह है कि अमेरिकी कानून सबसे ढीले हैं, इसलिए नागरिकों की privacy के उल्लंघन की काफी छूट देते हैं, और इसी वजह से कंपनियों को अब लगता है कि उन्हें बेवजह रोका जा रहा है
      अगर अमेरिकी कानून ज्यादा सख्त होते, तो यह समस्या नहीं होती और कोई इस बारे में बात भी नहीं कर रहा होता
      सिर्फ कंपनी की अपनी मर्ज़ी से काम करने की आज़ादी पर ध्यान देना बहुत ही अल्पदृष्टि और अमेरिका-केंद्रित सोच है। बिना surveillance के जीने की users की आज़ादी का क्या?
      network effects इतने बड़े हैं कि “पसंद नहीं है तो कहीं और चले जाओ” वाली free-market दलील ठीक से लागू नहीं होती, और बाहर से यह जानना मुश्किल है कि data कैसे process किया जाता है, इसलिए transparency की समस्या भी बड़ी है
      खासकर जब हर कंपनी data को अपनी संपत्ति और cash cow की तरह treat कर रही है
    • भौतिक products जब दूसरे देश में export होते हैं, तो उन्हें स्थानीय कानूनों का पालन करना पड़ता है; समझ नहीं आता कि online services को ही अपवाद क्यों होना चाहिए
      क्या इसे भी “जागीरें अपना हिस्सा और अपनी आवाज़ चाहती हैं” कहा जाएगा? क्या आप कानून की अवधारणा के ही खिलाफ हैं?
    • “हम भाग्यशाली थे कि हमने वह छोटा-सा दौर देखा जब दुनिया सच में एक global trade network थी। ब्रिटेन का व्यक्ति दुनिया की बेहतरीन चाय तक पहुंच सकता था, और लोग सीमाओं के पार अपेक्षाकृत आज़ादी से लेनदेन कर सकते थे। लेकिन अब यह खत्म होने की ओर है। हर जागीर अपना हिस्सा और अपनी आवाज़ चाहती है, जिससे दुनिया का global network बने रहना मुश्किल होता जा रहा है। जब तक चला, मज़ा आया।”
      शायद British Empire के अंत के समय कोई अज्ञानी व्यक्ति भी कुछ ऐसा ही कहता होगा
    • क्या ऐसा नहीं हो सकता कि उस “पूरी दुनिया के network” के केंद्र ने ही उसे प्रभाव और surveillance के औज़ार में बदल दिया हो?[1]
      या उस network में शामिल कंपनियों को network को दीवारों के भीतर बंद करने में अपना हित दिखा हो?[2][3]
      या फिर वह global network कुछ dominant players द्वारा इतना ज्यादा बदल दिया गया हो कि बाहरी regulation की जरूरत पड़ गई हो?[4][5]
      बेशक नहीं। यह industry के बड़े पैमाने के दुरुपयोग की प्रतिक्रिया नहीं, बस स्थानीय सामंतों की थोड़ी-सी ताकत बटोरने की कोशिश ही होगी
      [1]: https://en.wikipedia.org/wiki/PRISM
      [2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
      [3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
      [4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
      [5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
    • Uber का अपनी मर्ज़ी से काम करने का अधिकार, मेरे बारे में जानकारी पर मेरे नियंत्रण के अधिकार के सामने रुक जाता है
      आज़ादी क्या है? GPL है, BSD है, मुक्का घुमाना है, या नाक पर मुक्का न लगना?
  • appeal प्रक्रिया में करीब 4 साल लगेंगे और सभी कानूनी remedies खत्म होने तक जुर्माना स्थगित रहेगा, तो लगता है यह मामला 4 साल बाद फिर सुनने को मिलेगा

  • Uber इसे “यूरोप में business करने की लागत” के तौर पर मानेगा और कीमतों में markup के रूप में जोड़ देगा

  • पिछले कुछ वर्षों में EU द्वारा अमेरिकी tech कंपनियों पर लगाए गए जुर्मानों की कुल राशि 14.8 अरब डॉलर हो गई है: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
    यह Substack काफी अच्छा है, और साफ दिखाता है कि अमेरिकी tech कंपनियां जल्द ही यूरोप नहीं छोड़ेंगी, लेकिन इस संबंध में उनके पास कहीं ज्यादा ताकत है
    regulators अपना हाथ जरूरत से ज्यादा खेल रहे हैं

    • समझ नहीं आता कि वे ठीक-ठीक कैसे अपना हाथ जरूरत से ज्यादा खेल रहे हैं
      अगर अमेरिकी Big Tech यूरोप से पीछे हट भी जाए, तो short term को छोड़कर स्थानीय market के लिए यह अच्छा भी हो सकता है
      उनसे मुकाबला करना बेहद मुश्किल है, और अमेरिकी domestic market में भी यही हाल है
      EU जैसे बड़े market से अगर वे गायब हो जाएं, तो competition शुरू होने की संभावना ज्यादा है
    • फिर क्या होगा? खाली जगह बनेगी और कोई उसे भर नहीं पाएगा?
      भले ही मान लें कि EU में बिल्कुल क्षमता नहीं है, लेकिन यह देखते हुए कि अभी का सबसे अच्छा image generation model और काफी अच्छे open source LLMs EU से आए हैं, यह assumption बहुत अवास्तविक है
      इसके अलावा यूरोप के कई देशों, खासकर Eastern Europe में बेहतरीन tech talent है, और चीनी कंपनियां भी तुरंत कूद पड़ेंगी
    • उस लेख का जवाब आसान है। अमेरिकी Big Tech अगर EU कानूनों का पालन करे, तो जुर्मानों से पूरी तरह बच सकती है
    • उल्टा, यह दिखता है कि वे यूरोपीय customers से जबरदस्त पैसा कमा रहे हैं, इसलिए ऐसे जुर्माने झेल सकते हैं
      इसलिए यूरोप के नजरिए से यह अब भी बहुत खराब सौदा है