Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Hoge Nieuwstraat 8, 2514 EL Den Haag
T 070 8888 500 - F 088 0712140
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend

[vertrouwelijk]

Contactpersoon
[vertrouwelijk]

Onderwerp
Besluit tot oplegging bestuurlijke boete

Geachte [vertrouwelijk],

De Autoriteit Persoonsgegevens (AP) heeft besloten om aan Uber Technologies Inc. en Uber B.V. (hierna tezamen: Uber) een bestuurlijke boete van € 290.000.000 op te leggen. De AP is van oordeel dat Uber artikel 44 van de Algemene verordening gegevensbescherming (AVG) heeft overtreden, omdat Uber doorgiftes van persoonsgegevens liet plaatsvinden naar de Verenigde Staten terwijl er geen passende waarborgen werden geboden zoals bepaald in hoofdstuk V van de AVG.

De AP is van mening dat het opleggen van een bestuurlijke boete aan Uber niet alleen gepast is maar ook noodzakelijk. De AP heeft namelijk geconstateerd dat het beoogde belang van artikel 44 AVG, namelijk de continuïteit van het hoge niveau van de bescherming van de AVG bij doorgifte van persoonsgegevens naar derde landen, door Uber niet is gewaarborgd. De AP vindt dat ernstig en is om die reden tot handhaving jegens Uber overgegaan.

In dit besluit wordt de bestuurlijke boete toegelicht. Hiertoe wordt achtereenvolgens ingegaan op de aanleiding van het onderzoek, de feiten, de vastgestelde overtreding en de hoogte van de boete. Tot slot volgt het dictum.

2/48

Inhoud Inhoud . 2 1. Aanleiding onderzoek . 4 2. Feiten en omstandigheden . 5 2.1 Inleiding . 5 2.2 Uber chauffeurs en de chauffeurs-app . 5 2.3 De verwerkingsactiviteiten . 7 2.4 Aantal Uber chauffeurs en AVG-verzoeken van betrokkenen . 12 2.5 De toepassing van een doorgifte-instrument door Uber . 12 3. Zienswijze Uber . 13 4. Beoordeling . 16 4.1 Verwerking van persoonsgegevens . 16 4.2 Verwerkingsverantwoordelijke en bevoegdheid AP . 16 4.3 Territoriaal toepassingsgebied en hoofdstuk V AVG . 17 4.4 Is er sprake van doorgifte van persoonsgegevens? . 20 4.4.1 Juridisch kader. 21 4.4.2 Beoordeling . 22 4.4.3 Conclusie . 28 4.5 Had Uber een doorgifte-instrument? . 29 4.5.1 Juridisch kader. 29 4.5.2 Beoordeling . 30 4.5.3 Conclusie . 31 4.6 Kan Uber een succesvol beroep doen op een uitzondering van artikel 49 AVG? . 32 4.6.1 Juridisch kader. 32 4.6.2 Beoordeling . 33 4.6.3 Conclusie . 39 4.7 Eindconclusie . 39 5. De boete . 39 5.1 Boetebevoegdheid en zienswijze Uber . 39 5.2 Systematiek bepalen boetehoogte . 41 5.3 Berekening boetebedrag . 41

3/48

5.3.1 Stap 1: Vaststellen handelingen en inbreuken . 41 5.3.2 Stap 2: Bepalen uitgangsbedrag .42 5.3.3 Stap 3: Beoordelen overige relevante omstandigheden . 46 5.3.4 Stap 4: Controle overschrijding voor de inbreuken geldende maximumbedragen . 46 5.3.5 Stap 5: Beoordeling vereisten van doeltreffendheid, evenredigheid en afschrikking . 46 6. Besluit . 48

4/48

1. Aanleiding onderzoek 1. Uber is een internationaal opererend bedrijf dat onder andere als intermediair optreedt tussen taxichauffeurs en passagiers. Passagiers maken gebruik van de algemene Uber App (voor mobiele telefoons) of eventueel een browser om een rit te boeken. Chauffeurs maken gebruik van de Uber Driver App (hierna: chauffeurs-app) om ritten aan te bieden.

2. Voor het gebruik van de chauffeurs-app is het maken van een account voor chauffeurs verplicht. Chauffeurs worden na een rit door hun klanten beoordeeld en uitbetaald door Uber voor de geleverde diensten.

3. Op 12 juni 2020 heeft de Commission Nationale de l’Informatique et des Libertés (CNIL) een klacht ontvangen van de Franse niet-gouvernementele organisatie Ligue Des Droits De L’homme Et Du Citoyen (LDH, hierna: klager) namens 21 Uber-chauffeurs. Gaandeweg hebben zich nog eens 151 Uber-chauffeurs bij de klacht aangesloten, zodat deze namens 172 klagers is ingediend. LDH heeft vervolgens op 29 september 2020 een aanvullende klacht bij de CNIL ingediend, die op 11 januari 2021 is doorgezet naar de AP.

4. In deze aanvullende klacht stelt de klager dat de juridische positie van Uber niet duidelijk is naar aanleiding van de zogeheten SCHREMS II-uitspraak van het Hof van Justitie van de Europese Unie (hierna: HvJ-EU). In de SCHREMS II-uitspraak stelt het HvJ-EU dat er in de Verenigde Staten geen sprake is van een gelijkwaardig beschermingsniveau voor de doorgifte van persoonsgegevens uit de Europese Unie (hierna ook: EU) naar de Verenigde Staten. Hierdoor was het adequaatheidsbesluit met de Verenigde Staten (‘Privacy Shield”) niet meer geldig als instrument voor de doorgifte van persoonsgegevens. Het HvJ-EU gaf wel aan dat het met “Standard Contractual Clauses” (SCC) wel mogelijk was om gegevens te blijven doorgeven naar de Verenigde Staten, mits er voldoende aanvullende maatregelen zijn genomen om een gelijkwaardig beschermingsniveau te waarborgen.1

5. Op 16 april 2021 heeft de AP Uber schriftelijk in kennis gesteld van het feit dat zij een onderzoek is gestart naar aanleiding van de klachten die zijn ingediend door Franse Uber-chauffeurs. In dit onderzoek stond de vraag centraal of Uber voldoet aan de gestelde eisen van hoofdstuk V AVG voor de doorgifte van persoonsgegevens van chauffeurs uit de EU naar de Verenigde Staten.

6. De AP heeft vervolgens in haar onderzoek een overtreding van artikel 44 van de AVG vastgesteld, omdat Uber doorgiftes van persoonsgegevens liet plaatsvinden terwijl er geen passende waarborgen werden geboden zoals bepaald in hoofdstuk V van de AVG. Het onderzoeksrapport is bij brief van 13 april 2023 aan Uber verzonden. Uber heeft bij brief van 9 juni 2023 een zienswijze gegeven op het onderzoeksrapport. Op 5 juli 2023 heeft Uber haar zienswijze mondeling toegelicht tijdens een zienswijze zitting op het kantoor van de AP.

1 HvJ-EU 16 juli 2020 – Data Protection Commissioner v. Facebook Ireland Ltd. en Maximillian Schrems, C-311/18.

5/48

2. Feiten en omstandigheden 2.1 Inleiding

7. Uber is de naam van een elektronisch platform dat door Uber Technologies Incorporated (hierna UTI) is ontwikkeld. De hoofdvestigingsplaats van UTI is San Francisco, Verenigde Staten. Het Uber-platform wordt in de Europese Economische Ruimte (hierna: EER) vertegenwoordigd door Uber B.V. (hierna UBV). In de steden waar Uber actief is, maakt Uber het passagiers mogelijk via het Uber-platform vervoersdiensten te bestellen. Men kan in diverse Europese steden en landen een rit met Uber aanvragen en Uber heeft chauffeurs die op die grondgebieden werkzaam zijn.2

8. Volgens de privacyverklaring van Uber, zijn UBV en UTI gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens van Uber-chauffeurs op het EER-grondgebied.3 Hun verantwoordelijkheden ten aanzien van het naleven van de verplichtingen uit hoofde van de AVG staan beschreven in een overeenkomst.4

9. UBV heeft verscheidene dataverwerkingsovereenkomsten met andere dochterondernemingen van Uber in EER-landen. Zo wordt bijvoorbeeld met betrekking tot Uber France SAS, Ubers dochteronderneming in Frankrijk, UBV als de verwerkingsverantwoordelijke aangemerkt en Uber France SAS als de verwerker.5 In de gegevensverwerkingsovereenkomst staat dat binnen deze onderlinge verhouding UBV de entiteit is die de persoonsgegevens van Uber-chauffeurs beschikbaar stelt aan andere dochterondernemingen van Uber in de EER. In een toelichting heeft Uber echter aangegeven dat UBV weliswaar verantwoordelijk is voor de persoonsgegevens van Uber-chauffeurs in de EER, maar dat technisch gesproken deze door UTI toegankelijk worden gemaakt.6

10. Uber-chauffeurs in de EER moeten een contract met UBV sluiten om chauffeur bij Uber te kunnen worden.7

2.2 Uber chauffeurs en de chauffeurs-app

11. Uber omschrijft chauffeurs als “users of the platform who provide transportation services individually or through partner transportation companies using the Uber Driver application.”8 Om Uber-chauffeur te worden, moet men

2 Dossierstuk 20, Locaties van Uber. 3De Uber privacyverklaring is beschikbaar op: https://www.uber.com/legal/en/document/?name=privacy-notice&country=netherlands&lang=nl 4 Uber Data Sharing Agreement tussen Uber B.V. en Uber Technologies Inc. Toepassingsgebied: Uber Personal Data & Employee Data gesloten op 6 augustus 2021. 5 Dossierstuk 17, Antwoord op inlichtingenverzoek 2, Bijlage Processing Agreement Uber France SAS. 6 Zie de notulen van de op 5 juli 2023 gehouden zienswijze zitting. 7 Dossierstuk 4, Uber aanvullende voorwaarden voor Chauffeurs. 8 In antwoord op het inlichtingenverzoek van 7 juli 2021, heeft Uber B.V. op 9 augustus 2021 hun administratie inzake Driver Personal Data Processing Activities aan de AP verstrekt. Wat daaronder wordt verstaan staat vermeld onder ‘III. Categories of Data Subjects Whose Personal Data Uber Processes’.

6/48

een account op de chauffeurs-app aanmaken.9 Om toegang tot het platform te verkrijgen, dient de chauffeur daarnaast de ‘Conditions for independent Uber Partners’ te accepteren.10 Deze voorwaarden kunnen eenzijdig door Uber worden aangepast. 11 Nadat de chauffeur aan de voorwaarden heeft voldaan en op de app is ingelogd, kan hij ‘online gaan’. Vervolgens kan de chauffeur ritten (die door zich in de buurt van hem bevindende passagiers worden aangevraagd) accepteren, weigeren of negeren. Een chauffeur die online is, maar die drie keer achtereen besluit een aangevraagde rit te negeren, wordt automatisch van het platform uitgelogd. De chauffeur blijft echter nog steeds toegang houden tot de andere voorzieningen op het platform. Daarbij moet worden opgemerkt dat een chauffeur de mogelijkheid heeft een reeds door hem geaccepteerde rit alsnog te annuleren. Ten aanzien van het accepteren, negeren en annuleren van ritten door de Uber-chauffeur, houdt Uber het percentage ritten bij dat door een chauffeur wordt geannuleerd. [Vertrouwelijk].12 Na afronding van de rit wordt de passagier (de klant) gevraagd de chauffeur te beoordelen op een schaal van 1 tot en met 5. Een gemiddelde score die beneden de drempelwaarde ligt, kon (voorheen) tot uitsluiting van het platform leiden.

12. Bij de rit-aanvraag ontvangt de chauffeur informatie over het type rit dat wordt aangevraagd (Uber X, Uber Green, enz.), de naam van de passagier, de gebruikersbeoordeling, de ophaallocatie (inclusief de afstand tot de chauffeur), de bestemmingslocatie en de geschatte duur van de rit. Daarnaast kan de Uber-chauffeur via sms of telefonisch contact met de passagier opnemen. De passagier kan op zijn beurt een bepaald type rit van de ene locatie naar de andere aanvragen en ontvangt een prijsopgave voor de rit. Na instemming met de ritprijs, wordt de informatie over de chauffeur die de rit heeft geaccepteerd aan de passagier getoond. Deze informatie omvat onder andere, maar niet uitsluitend, de foto van de chauffeur, de naam, de beoordeling, het type rit dat de chauffeur verzorgt, de live locatie, het type auto, het kentekennummer, en eventuele berichten en/of telefonische oproepen van de chauffeur.

13. Uber kent verder verschillende classificaties toe aan de Uber-chauffeurs, zoals Gold, Platinum of Diamond. Op basis van de classificatie krijgt een chauffeur bepaalde voorrechten op ritten die winstgevend kunnen zijn.13 Om een bepaalde classificatie te behalen, moet een chauffeur aan de volgende criteria voldoen: 1) een beoordeling van 4,85 uit 5; 2) een acceptatiepercentage van 85% of hoger, en 3) een annuleringspercentage van 4% of lager. Daarnaast heeft Uber een puntensysteem waarmee een chauffeur punten kan behalen die meewegen in de classificatie.14

14. Meningsverschillen tussen een passagier en een chauffeur, bijvoorbeeld over de ritprijs, worden door Uber afgehandeld. In een dergelijk geval kan Uber eenzijdig beslissen om de ritprijs (geheel of gedeeltelijk) aan de passagier te restitueren, waarna de chauffeur een lager bedrag uitbetaald krijgt voor de rit.15

9 Algemeen Gebruiksvoorwaarden van Uber, beschikbaar op: https://www.uber.com/legal/nl/document/?name=general-terms-of-use&country=netherlands&lang=nl, artikellid 5.3 en verder. 10 Dossierstuk 4 en 'Voorwaarden voor onafhankelijke Uber-partners', bijgewerkt op 12 juli 2020. 11 Algemeen Gebruiksvoorwaarden van Uber, beschikbaar op: https://www.uber.com/legal/nl/document/?name=general-terms-of-use&country=netherlands&lang=nl, artikellid 16.1. 12 [vertrouwelijk] 13 Ibid. 14 Ibid, r.o. 1.17. 15 Ibid, r.o. 1.16.

7/48

15. Tot slot kan Uber eenzijdig besluiten om een Uber-chauffeur geen toegang meer tot het Uber-platform te geven. De redenen voor toegangsweigering betreffen bijvoorbeeld het niet naleven van de regels, fraude, onacceptabel gedrag of gevaarlijk rijgedrag. Een gemiddelde beoordeling die onder de 4,5 uit 5 ligt, kon (voorheen) echter ook tot uitsluiting van het platform leiden.16

2.3 De verwerkingsactiviteiten

16. Uber beschikt over een gecentraliseerde IT-infrastructuur op het platform en de servers van UTI die zich in de Verenigde Staten bevinden. De persoonsgegevens van Uber-chauffeurs, die zich in de EER bevinden, worden derhalve in de Verenigde Staten verwerkt. De AP heeft in haar onderzoek de volgende twee relevante situaties vastgesteld, waarin verwerkingen plaatsvinden die zich als doorgiften in de zin van de AVG kwalificeren.

17. In de eerste situatie worden via de chauffeurs-app de persoonsgegevens van Uber-chauffeurs, die zich bevinden binnen de EER, verzameld en opgeslagen op een platform dat zich fysiek bevindt in de Verenigde Staten.17 Naast account- en locatiegegevens worden (afhankelijk van de wettelijke regels in een land) ook andere gegevens in de Verenigde Staten opgeslagen, zoals identiteitsbewijzen, strafrechtelijke- en gezondheidsgegevens en een taxilicentie.18

18. De tweede situatie betreft de uitoefening van AVG-rechten door betrokkenen. UBV is verantwoordelijk voor het beoordelen van de reikwijdte van verzoeken met betrekking tot de rechten van betrokkenen en voor de communicatie met betrokkenen.19 UTI is verantwoordelijk voor het beschikbaar stellen van de persoonsgegevens aan UBV om te kunnen reageren op verzoeken van betrokkenen. Volgens de AP is er een structurele uitwisseling van persoonsgegevens tussen UBV in Nederland en UTI in de Verenigde Staten. Ten eerste eindigen via de chauffeurs-app en per mail (vanaf het apparaat in de EER) de persoonsgegevens van de Uber chauffeurs, die binnen de EER onder de verantwoordelijkheid van UBV worden verwerkt, op de servers van UTI in de Verenigde Staten. Ten tweede vindt er een structurele uitwisseling van persoonsgegevens plaats tussen UBV en UTI.

19. Bovenstaande situaties worden door Uber als volgt nader uiteengezet.20

Situatie 1 20. De eerste situatie heeft betrekking op de chauffeurs-app waarbinnen Uber-chauffeurs in de EER via hun smartphone persoonsgegevens met UTI delen. Wanneer de chauffeur de app voor het eerst gebruikt, wordt

16 Ibid, r.o. 1.13. 17 Zie dossierstuk 11, Antwoord op inlichtingenverzoek 1, Bijlage onderdeel International Data Flows, pagina 2. Zie ook dossierstuk 17, Antwoord op inlichtingenverzoek 2, Bijlage UBV-UTI Data Sharing Agreement, pagina 2 e.v. 18 Zie dossierstuk 23, Vereisten voor chauffeurs en dossierstuk 17, Antwoord op inlichtingenverzoek 2 , Bijlage 2012UBV ROPA. Zie ook dossierstuk 17, Antwoord op inlichtingenverzoek 2, Bijlage 2012UBV ROPA, pagina 2. In het document wordt onder andere gesproken over “evidence of health or fitness to provide services”. 19 Zie dossierstuk 17, Antwoord op inlichtingenverzoek 2, Bijlage UBV-UTI Data Sharing Agreement, pagina 2 en 3, “UBV shall be responsible for assessing the validity and the scope of requests for the exercise of data subject rights, and for responding to the data subjects.” 20 Zie ‘Zienswijze Uber op onderzoeksrapport en voornemen tot handhaving’ van 9 juni 2023, p. 19-26.

8/48

de chauffeur gevraagd persoonsgegevens te verstrekken zoals zijn naam, e-mailadres en telefoonnummer. De gegevens worden vervolgens opgeslagen op de servers van UTI in de Verenigde Staten. Uber geeft aan dat in deze situatie de chauffeur zijn persoonsgegevens direct aan UTI verstrekt zonder (technische) tussenkomst van UBV of andere Europese dochterondernemingen. Dit wordt bevestigd in onder andere de overeenkomst tussen UTI en Uber B.V. over de verantwoordelijkheden van beide partijen en andere documentatie die door Uber is aangeleverd.21

Situatie 2 21. De tweede situatie heeft betrekking op de rechten van betrokkenen. Meer in het bijzonder, 1) de beoordeling van de reikwijdte van het verzoek van betrokkenen ten aanzien van hun rechten uit hoofde van de AVG, en 2) de communicatie met betrokkenen over de uitoefening van hun rechten.

22. Volgens Uber vindt er gegevensverkeer plaats vanaf het moment dat de Uber-chauffeur een verzoek (met betrekking tot zijn rechten uit hoofde van de AVG) indient tot het moment dat Uber het verzoek van de betrokkene beantwoordt. Uber verklaart verder dat het gegevensverkeer tussen de betrokkene, UBV en UTI afhangt van het specifieke verzoek dat een chauffeur heeft ingediend. Uber geeft vervolgens een beschrijving van de standaardprocedures die bij de afhandeling van een verzoek van een betrokkene worden gebruikt.

23. Volgens Uber is de eerste stap in zo’n procedure de manier waarop de betrokkene het verzoek doet. Uber geeft chauffeurs de mogelijkheid hun rechten uit te oefenen door: a) het formulier in de chauffeurs-app of op de website van Uber in te vullen; b) een e-mail naar Uber te sturen; of c) gebruik te maken van andere communicatievormen (via een aan Uber gerichte brief of in een telefoongesprek met een Uber-medewerker).

Ad (a) 24. De chauffeurs-app en de website van Uber maken gebruik van de servers van UTI die zich in de Verenigde Staten bevinden. Wanneer een Uber-chauffeur zijn rechten uit hoofde van de AVG rechtstreeks via de chauffeurs-app of de website van Uber wil uitoefenen, verloopt de met de afhandeling van dergelijke verzoeken verband houdende gegevensstroom (rechtstreeks) via de smartphone of ander device van de zich in de EER bevindende Uber-chauffeur, naar de zich in de Verenigde Staten bevindende servers van UTI. Dit is ongeacht de entiteit tot wie de betrokkene verkiest zich te richten. Uber verklaart dat in dit stadium UTI de enige entiteit is die het verzoek ontvangt, omdat het verzoek immers naar het door UTI geëxploiteerde en beheerde platform van Uber wordt gedaan.

Ad (b) 25. Een Uber-chauffeur kan ervoor kiezen zijn rechten uit te oefenen door een e-mail te sturen naar een adres binnen het uber.com domein (e-mailadres eindigend op uber.com). Het e-mailverkeer van Uber gebruikt

21 Zie dossierstuk 17, Antwoord op inlichtingenverzoek 2, 9 augustus 2021, pagina 16 e.v. en Bijlage UBV-UTI Data Sharing Agreement, pagina 2 e.v.

9/48

de IT-systemen van UTI die zich op het grondgebied van de Verenigde Staten bevinden. Uber verklaart dat er in deze situatie alleen sprake is van gegevensverkeer die rechtstreeks plaatsvindt tussen de betrokkene (via zijn persoonlijke device) op EER-grondgebied, naar de zich in de Verenigde Staten bevindende systemen van UTI.

Ad (c) 26. De Uber-chauffeur kan ervoor kiezen om zijn rechten uit hoofde van de AVG op een andere manier uit te oefenen, zoals per post of telefonisch. Uber geeft aan dat deze andere manieren slechts een klein percentage uitmaken van de verzoeken die Uber-chauffeurs in de Europese Unie doen (minder dan 10 verzoeken per jaar). Indien de Uber-chauffeur ervoor kiest een brief te sturen naar het adres van UTI in de Verenigde Staten of wanneer de Uber-chauffeur telefoneert met een medewerker in de Verenigde Staten en zijn wens kenbaar maakt zijn rechten te willen uitoefenen, dan is volgens Uber nog steeds sprake van een rechtstreeks gegevensverkeer vanuit de zich in de EER bevindende chauffeur naar UTI in de Verenigde Staten.

27. Als de Uber-chauffeur ervoor kiest zijn verzoek te sturen naar UBV die zich in de EER bevindt of een andere dochteronderneming die zich op EER-grondgebied bevindt, is er volgens Uber sprake van rechtstreeks gegevensverkeer tussen de chauffeur en die entiteit. Uber komt tot dezelfde conclusie indien de Uber-chauffeur ervoor kiest telefonisch te communiceren met een werknemer van Uber die zich in de EER bevindt. Na ontvangst van het verzoek, adviseert de medewerker de Uber-chauffeur zijn verzoek in de chauffeurs-app te doen omdat het verzoek via deze route het snelst kan worden afgehandeld. Indien de Uber-chauffeur ervoor kiest dit niet te doen, dan zet de medewerker rechtstreeks een notitie in de IT-systemen van UTI. Deze bevinden zich weliswaar in de Verenigde Staten, maar de Uber-werknemer (die zich op EER-grondgebied bevindt) heeft daar op afstand toegang toe.

28. Ingeval van brieven worden deze door UBV naar UTI doorgestuurd. Het doorsturen van de brief en het maken van een notitie (van een gevoerd telefoongesprek) wordt digitaal door de UBV-medewerker afgehandeld. De UBV-medewerker maakt via de browser op zijn computer verbinding met het systeem Bliss Content dat gebruik maakt van de servers van UTI in de Verenigde Staten. De inhoud van het verzoek dat de chauffeur heeft gedaan, wordt door de medewerker in dit systeem omschreven. Uber geeft aan dat er in deze situatie sprake is van gegevensverkeer vanuit de computer die in de EER staat, naar de systemen in de Verenigde Staten.

29. Ter nadere uiteenzetting van de gegevens die worden verwerkt, verklaart Uber dat een Uber-chauffeur die via de chauffeurs-app of de website een recht uitoefent, zijn persoonsgegevens niet op het platform hoeft in te voeren. De meeste Uber-chauffeurs zijn via hun persoonlijke account op het platform ingelogd. Het gegevensverkeer dat bij de indiening van het verzoek plaatsvindt, bestaat dan uit het specifieke verzoek dat de chauffeur doet (de gegevens waarom wordt verzocht) en de aan het account van de Uber-chauffeur gekoppelde 'Universally Unique Identifier' (UUID). Ieder account op het Uber-platform is gekoppeld aan een UUID waarmee de Uber-chauffeur op het platform en de systemen van Uber kan worden geïdentificeerd.

10/48

30. Indien de Uber-chauffeur niet op het platform (chauffeurs-app of website) is ingelogd, dan kan een verzoek op de chauffeurs-app of website worden gedaan door informatie te verstrekken ten aanzien van de uit te oefenen rechten, de naam, het e-mailadres en het telefoonnummer die aan het account van de Uber-chauffeur zijn gekoppeld. Deze informatie is nodig om het verzoek aan de UUID van de chauffeur te koppelen en het proces ter afhandeling van het verzoek van de chauffeur in gang te zetten. Als de Uber-chauffeur het verzoek per e-mail, post of telefonisch doet, wordt de chauffeur om hetzelfde type informatie gevraagd.

31. De tweede stap in de procedure is het voorbereidingstraject om het verzoek van de betrokkene te beantwoorden. De meeste verzoeken van betrokkenen worden automatisch afgehandeld via het zelfbedieningsportaal waar de Uber-chauffeur toegang toe heeft. De zelfbedieningsomgeving bevindt zich op de servers van UTI in de Verenigde Staten en beschikt over twee functies: 1) 'Explore Your Data' waarmee de Uber-chauffeur zijn persoonsgegevens kan inzien en 2) 'Download Your Data' waarmee een Uber-chauffeur een kopie van zijn persoonsgegevens kan downloaden. Indien het verzoek volledig door middel van deze functies in de zelfbedieningsomgeving kan worden afgehandeld, dan worden alle benodigde persoonsgegevens automatisch verzameld in de systemen van UTI in de Verenigde Staten. Deze gegevens worden vervolgens rechtstreeks met de betrokkene gedeeld zonder enige tussenkomst van een Uber-medewerker. Bij deze volledig geautomatiseerde voorbereiding stelt Uber dat er geen sprake is van gegevensverkeer vanuit de EER naar de Verenigde Staten.

32. Wanneer de zelfbedieningsomgeving het verzoek om redenen van vraagstelling of complexiteit niet kan afhandelen, dan moet een Uber-medewerker de beantwoording van het verzoek van de chauffeur (deels) handmatig voorbereiden. Uber merkt op dat in de eerste vier maanden van 2023 ongeveer 25 verzoeken per maand op deze manier werden afgehandeld.

33. In het proces van gedeeltelijk handmatige beantwoording van het verzoek, moet een medewerker van UBV het verzoek van de betrokkene kunnen inzien. De medewerker doet dit door zich, via de browser van zijn computer die in de EER staat, toegang te verschaffen tot de zich in de Verenigde Staten bevindende systemen van UTI. Uber geeft aan dat er in deze situatie sprake is van gegevensverkeer vanuit de Verenigde Staten naar de EER, die het UUID-nummer en de inhoud van het verzoek van de chauffeur omvat.

34. Uber geeft aan dat het afhankelijk is van het soort verzoek van de betrokkene, welk type persoonsgegevens van de Uber-chauffeur verzameld moeten worden om het verzoek te beantwoorden. Omdat Uber een gecentraliseerde IT-infrastructuur op het platform en de servers van UTI heeft welke zich in de Verenigde Staten bevinden, worden de persoonsgegevens van de zich in de EER bevindende Uber-chauffeurs in de Verenigde Staten verwerkt. Om aan het verzoek gehoor te geven dient de medewerker gegevens te verzamelen die op de servers van UTI staan. Om de relevante persoonsgegevens op de servers te verzamelen, moet de UBV-medewerker de reikwijdte van het verzoek van de betrokkene beoordelen. Nadat de reikwijdte is bepaald, verschaft de UBV-medewerker zich via de browser op zijn computer die in de EER staat, toegang tot de relevante systemen van UTI. De reikwijdte van het verzoek van de betrokkene - parameters die de aard van de persoonsgegevens aangeven - worden samen met de UUID van de Uber-chauffeur door de desbetreffende medewerker in de zoekmachine ingevoerd. In de systemen van UTI

11/48

wordt vervolgens gezocht naar de persoonsgegevens die voldoen aan de door de UBV-medewerker in de zoekmachine ingevoerde criteria. Dit proces vindt in zijn geheel plaats op de zich in de Verenigde Staten bevindende servers en het duurt enkele uren voordat de resultaten van de zoekopdracht rechtsreeks naar een spreadsheet op de server in de Verenigde Staten worden overgezet. Nadat de informatie naar de spreadsheet is overgezet, ontvangt de medewerker een bericht dat de aangevraagde informatie klaar is. De medewerker van UBV kan de spreadsheet vervolgens inzien via de browser van zijn computer in de EER.

35. De UBV-medewerker controleert de verzamelde informatie en verwijdert informatie die buiten de reikwijdte van het verzoek van de chauffeur valt. Indien de verzamelde gegevens niet de informatie oplevert die gebruikt kan worden om het verzoek adequaat te beantwoorden, dan voert de medewerker een nieuwe zoekopdracht uit volgens de eerder beschreven procedure. Deze procedure wordt herhaald totdat de medewerker over de benodigde persoonsinformatie beschikt om het verzoek adequaat te beantwoorden. Uber merkt op dat de betreffende medewerker zelf geen persoonsgegevens aan de spreadsheet toevoegt.

36. Uber geeft aan dat bij het verzamelen van gegevens nagenoeg uitsluitend sprake is van gegevensverkeer binnen de Verenigde Staten. Daarbij wordt verder nog opgemerkt dat de UBV-medewerker alleen inzage heeft in de persoonsgegevens die op de servers van UTI in de Verenigde Staten staan. Uber merkt nadrukkelijk op dat de UBV-medewerker dus op afstand inzage heeft in de persoonsgegevens en dat deze niet op de zich op het EER-grondgebied bevindende server of computer van de UBV-medewerker komen te staan. Slechts het invoeren van de parameters voor selectie wordt door Uber aangemerkt als gegevensverkeer vanuit de EER naar de Verenigde Staten.

37. De laatste stap in de (deels handmatige) afhandelingsprocedure van rechten van betrokkenen is het beantwoorden van het door de chauffeur gedane verzoek. Wanneer de eerdergenoemde spreadsheet gevuld is met de binnen de reikwijdte van het verzoek vallende persoonsgegevens, is de spreadsheet klaar om met de Uber-chauffeur gedeeld te worden. Deze stap wordt uitgevoerd door de UBV-medewerker die, vanaf de browser op zijn computer, toegang heeft tot de spreadsheet en de zich in de Verenigde Staten bevindende systemen van UTI. De betreffende medewerker geeft het systeem opdracht tot het exporteren van de spreadsheet naar de zogenaamde 'bestandenpostbus'. De aan dit proces gekoppelde gegevensverkeer betreft alleen de gegevensstroom op het grondgebied van de Verenigde Staten. Uber licht dit nader toe met dat de 'bestandenpostbus' op de servers van UTI staat en dat de spreadsheet die op de servers van UTI staat van het ene systeem naar het andere wordt geëxporteerd (maar op de server van UTI blijft). Wanneer de gegevens naar de 'bestandenpostbus' zijn doorgegeven, worden deze door de UBV-medewerker geopend en stelt de medewerker deze vervolgens aan de Uber-chauffeur beschikbaar. Meer in het bijzonder, stuurt de 'bestandenpostbus' een link naar de Uber-chauffeur in de EER en de Uber-chauffeur kan via de link de persoonsgegevens die in de spreadsheet staan downloaden. Volgens Uber betreft dit gegevensverkeer van de Verenigde Staten naar de chauffeur in Europa.

38. Uber merkt op dat er een tijdelijke uitzondering op dit proces bestaat als het gaat om rechten van betrokkenen ten aanzien van betalingsbewijzen. Indien een betalingsbewijs onderdeel uitmaakt van een inzageverzoek van een chauffeur, dan moet de UBV-medewerker het betalingsbewijs van de UTI-servers

12/48

naar zijn zich in de EER bevindende computer downloaden. Dit document wordt vervolgens door de UBV-medewerker weer handmatig geüpload naar de 'bestandenpostbus' op de servers in de Verenigde Staten. Nadat dit document is geüpload, verwijdert de UBV-medewerker het document van zijn computer. Het gegevensverkeer die dit met zich meebrengt betreft een doorzending van persoonsgegevens vanuit de Verenigde Staten naar de EER en weer terug naar de Verenigde Staten. Uber merkt op dat deze manier van betalingsbewijzen afhandelen tijdelijk is en dat zij verwachten dat dit proces binnen een aantal weken zal zijn gelijkgetrokken met de hierboven beschreven procedure ten aanzien van het afhandelen van verzoeken van betrokkenen.

2.4 Aantal Uber chauffeurs en AVG-verzoeken van betrokkenen

39. De AP heeft Uber gevraagd naar het aantal geregistreerde Uber chauffeurs in de EU en hoe vaak betrokkenen een beroep hebben gedaan op hun AVG-rechten.

40. Vanaf 6 augustus 2021 tot en met half februari 2023 waren er gemiddeld [vertrouwelijk] chauffeurs actief in Frankrijk en [vertrouwelijk] chauffeurs in de gehele EU. Op 17 februari 2023 waren er in totaal [vertrouwelijk] actieve chauffeurs in de EU.22

41. Uber heeft tussen augustus 2021 en februari 2023, [vertrouwelijk] inzageverzoeken van chauffeurs uit de EU uitgevoerd met de automatische ‘download your data tool’. Hiermee kunnen chauffeurs op basis van de generieke categorieën die Uber aanbiedt in de ‘download your data tool’ hun persoonsgegevens downloaden. Ook heeft Uber [vertrouwelijk] verwijderverzoeken uitgevoerd voor (oud-) chauffeurs uit de EU. Daarnaast geeft Uber aan: ”naast het gebruik van de 'Download Your Data' tool heeft Uber tussen 6 augustus 2021 en 1 februari 2023, [vertrouwelijk] verzoeken van Franse (oud-)chauffeurs voor een uitgebreider inzageverzoek verwerkt.”23

2.5 De toepassing van een doorgifte-instrument door Uber

42. Uber heeft over de doorgifte van persoonsgegevens naar derde landen het volgende verklaard: “For transfers of data subjects’ data to third countries, Uber’s standard practice is (and has been) to have standard contractual clauses (SCCs) in place when a third country has not been afforded an adequacy decision in order to ensure a high level of protection, and to conduct a “third party risk management” assessment to identify potential risks and ensure data protection for its user’s data.”24

43. In 2021 heeft Uber echter besloten dat er voor de verwerking van persoonsgegevens van de EU-chauffeurs in de Verenigde Staten geen standaardcontractbepalingen nodig zijn. Uber stelt namelijk dat er geen sprake is van doorgifte en dat door de gezamenlijke verantwoordelijkheid van UBV en UTI artikel 3 van de AVG onverkort van toepassing is op de persoonsgegevens die verwerkt worden in de Verenigde Staten.

22 Zie dossierstuk 26, Antwoord op inlichtingenverzoek 4, 13 maart 2023. De AP heeft aan Uber het aantal geregistreerde chauffeurs gevraagd in de EU. De AP heeft hier een aantal peildatums voor gegeven om een indruk te krijgen van het aantal chauffeurs over een periode. Uber heeft hierop het cijfers aangeleverd van chauffeurs die tenminste een rit hebben uitgevoerd in de 28 dagen voorafgaand aan een peildatum. 23 Zie dossierstuk 30, Aanvullende antwoorden van Uber 23 maart 2023. 24 Zie dossierstuk 17, Antwoord op inlichtingenverzoek 2, 9 augustus 2021, pagina 6.

13/48

Onder verwijzing naar de geactualiseerde SCC’s van de Europese Commissie25 geeft Uber het volgende aan: “In light of this, Uber revisited its joint controller agreement to delete the SCCs, and to clarify joint controller responsibilities. Therefore, Uber has adopted a new version of its joint controller agreement, in which the new regulatory requirements and relationship between UTI and UBV are reflected”.26

44. De Data Sharing Agreement waar Uber naar verwijst heeft als versiedatum 6 augustus 2021. Op basis van de verklaring van Uber stelt de AP dus vast dat Uber per 6 augustus 2021 de standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen uit de bovengenoemde overeenkomst heeft verwijderd.27 Uber had daarna ook geen andere doorgifte-instrumenten geïmplementeerd, zoals bindende bedrijfsvoorschriften of een certificeringsmechanisme.28

45. Op 10 juli 2023 heeft de Europese Commissie het adequaatheidsbesluit ‘EU-VS Kader voor gegevensbescherming’ aangenomen.29 Uber heeft zich op 27 november 2023 gecertificeerd onder het EU – US Data Privacy Framework.30 Uber zegt het volgende hierover in haar privacyverklaring31:

“When we transfer user data from the EEA, UK and Switzerland, we do so on the basis of the necessity to fulfill our agreements with users, consent, adequacy decisions regarding the country of transfer (available here, here or here), and transfer mechanisms such as the Standard Contractual Clauses adopted by the European Commission (and their approved equivalents for the UK and Switzerland), and the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the UK Extension to the EU-U.S. DPF, and the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), as set forth by the U.S. Department of Commerce. […] UTI has certified to the United States Department of Commerce that it adheres to (1) the EU-U.S. Data Privacy Framework Principles regarding the processing of personal data received from EEA member countries in reliance on the EU-U.S. DPF […] In the event that the EU-U.S. DPF or the Swiss-U.S. DPF are invalidated, Uber will transfer data that is subject to these certifications in reliance on the other data transfer mechanisms described above.”

3. Zienswijze Uber 46. De AP is van oordeel dat Uber artikel 44 AVG heeft overtreden, omdat Uber vanaf 6 augustus 2021 tot 27 november 2023 doorgiftes van persoonsgegevens liet plaatsvinden naar de Verenigde Staten terwijl er geen geldig adequaatheidsbesluit was en geen passende waarborgen werden geboden zoals bepaald in hoofdstuk V van de AVG. De AP zet in hoofdstuk 3 samengevat de zienswijze van Uber uiteen. In hoofdstuk 4 volgt de juridische onderbouwing van de AP voor de overtreding en volgt tevens de reactie van de AP op de zienswijze van Uber.

Toepassing van hoofdstuk V AVG

25 Uitvoeringsbesluit (eu) 2021/914 van de Europese Commissie. 26 Zie dossierstuk 17, Antwoord op inlichtingenverzoek 2, 9 augustus 2021, pagina 5. 27 Zie dossierstuk 17 Antwoord op inlichtingenverzoek 2, Bijlage UBV-UTI Data Sharing Agreement 28 Zie artikel 46 en 47 AVG voor een volledig overzicht. 29 https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en 30 https://www.dataprivacyframework.gov/list 31 https://www.uber.com/legal/nl/document/?name=privacy-notice&country=france&lang=en

14/48

47. Uber is van oordeel dat artikel 44 AVG niet is geschonden, omdat hoofdstuk V van de AVG niet van toepassing is op de onderzochte verwerkingen. Ten eerste is hoofdstuk V volgens Uber niet van toepassing, omdat artikel 3 AVG reeds van toepassing is. Hoofdstuk V is volgens Uber bedoeld om gevallen die buiten het toepassingsbereik van artikel 3 AVG vallen op te vangen, opdat de door de AVG geboden bescherming niet wordt ondermijnd. Omdat door de toepassing van artikel 3 AVG de gegevens al worden beschermd, is gelijktijdige toepassing van artikel 3 AVG en hoofdstuk V AVG dubbelop en daarmee zinledig.

48. Ten tweede stelt Uber dat hoofdstuk V ondergeschikt is aan artikel 3, en kan daardoor niet gelijktijdig toegepast worden. Een andere uitleg is volgens Uber in strijd met internationale verplichtingen van de EU, in het bijzonder de WTO-Overeenkomst en het bijhorende GATS-akkoord. Uit deze internationale verbintenissen volgt dat lidstaten bij de overeenkomst niet-Europese entiteiten niet nadeliger mogen behandelen dan Europese entiteiten. In de rechtspraak is vast komen te staan dat afgeleid Gemeenschapsrecht, waaronder de AVG, zoveel mogelijk in lijn met internationaal recht moet worden uitgelegd. Een gelijktijdige toepassing van artikel 3 AVG en hoofdstuk V is in strijd met verplichtingen van de EU uit het internationale recht en de verplichting om afgeleid Gemeenschapsrecht in lijn met internationaal recht uit te leggen. Daarom moet de verhouding tussen artikel 3 AVG en hoofdstuk V AVG zo worden uitgelegd dat zij niet gelijktijdig van toepassing kunnen zijn.

Het begrip ‘doorgifte’ 49. Uber stelt dat het concept ‘doorgifte’ niet door de AVG wordt gedefinieerd. Dit was een bewuste keuze van de Europese wetgever die dat deed in weerwil van de bezwaren en adviezen van diverse instellingen zoals de EDPS, de EECC en de EDPB. Daarnaast hebben Europese gegevensbeschermingsautoriteiten, inclusief de AP, tot 14 februari 2023 nooit invulling aan het concept gegeven ondanks het feit dat dit wel is verzocht door verschillende stakeholders. Pas op 14 februari 2023 kwam de EDPB met een invulling van het concept ‘doorgifte’, maar naast het feit dat ze zelf toegeeft dat het een rechtsonzeker concept is omdat de AVG er geen definitie van geeft, is de interpretatie van de EDPB zelf slechts één mogelijke interpretatie en bovendien niet-bindend. Daarbij komt dat de EDPB de EC heeft verzocht om het concept verder te verduidelijken. De AP kan zich om bovenstaande niet beroepen op deze enkele interpretatie zonder verdere onderbouwing.

Geen sprake van doorgifte in het onderhavige geval 50. Uber stelt voorts dat er geen sprake is van doorgifte omdat er, volgens de richtsnoeren van de EDPB, sprake moet zijn van een verwerker of verwerkingsverantwoordelijke die optreedt als exporteur van de persoonsgegevens terwijl het in casu gaat om betrokkenen die zelf de persoonsgegevens direct beschikbaar stellen aan UTI. Voor zover betoogd wordt dat Uber de gegevens exporteert omdat de chauffeurs dit doen onder de verantwoordelijkheid van UBV slaagt dit betoog niet, omdat de AP hiermee een nieuwe norm introduceert die niet volgt uit de richtsnoeren en ook niet uit de AVG. Daarnaast slaagt het betoog niet omdat 1) de feitelijke gegevensoverdracht beoordeeld moet worden, 2) uit de kwalificatie als gezamenlijke verwerkingsverantwoordelijke niet volgt dat UBV de persoonsgegevens zelf beschikbaar stelt en 3) uit de feitelijke en juridische verdeling van verantwoordelijkheden tussen UBV en UTI evenmin volgt dat UBV verantwoordelijk is voor het delen van persoonsgegevens aan UTI wanneer een chauffeur dat doet.

15/48

Doorgifte-instrumenten en uitzonderingsgronden 51. Uber stelt dat zelfs al zou er sprake zijn van doorgifte, deze doorgifte in overeenstemming is met hoofdstuk V AVG. Ten eerste implementeerde Uber tot 6 augustus 2021 standaardcontractbepalingen in de Data Sharing Agreement (DSA) tussen gezamenlijke verwerkingsverantwoordelijken UBV en UTI als onverplichte waarborg voor het onderzochte gegevensverkeer. Uber heeft te goeder trouw de standaardcontractbepalingen hieruit verwijderd, omdat op 4 juni 2021 de EC, met de introductie van nieuwe standaardcontractbepalingen, in de overwegingen heeft gesteld dat de nieuwe standaardcontractbepalingen niet gebruikt mogen worden in zoverre de verwerking door de importeur binnen de werkingssfeer van art. 3 lid 2 AVG valt. Ook blijkt uit het gebrek aan enige vorderingen van de EC in het ontwikkelen van standaardcontractbepalingen specifiek voor importeurs die al vallen onder het toepassingsbereik van de AVG dat de EC zich tot nu toe op het standpunt stelt dat toepassing van art. 3 AVG toepassing van hoofdstuk V AVG uitsluit. Het staat volgens Uber in ieder geval vast dat er geen standaardcontractbepalingen beschikbaar waren voor Uber in de tussentijd. Naast de standaardcontractbepalingen zijn volgens Uber alle alternatieve doorgifte-instrumenten op dit moment geen realistische alternatieven.

52. Ten tweede is eventuele doorgifte van persoonsgegevens door Uber rechtmatig, omdat Uber van oordeel is dat zij zich kan beroepen op de uitzondering van art. 49 lid 1 sub b en c AVG. Uber stelt dat doorgifte op basis van art. 49 AVG niet vereist dat het beschermingsniveau in het derde land in grote lijnen overeenkomt met het beschermingsniveau dat binnen de EU wordt gewaarborgd door de AVG. Het uitsluitend voldoen aan de voorwaarden zoals genoemd in art. 49 AVG is volgens Uber voldoende. Dit volgt o.a. uit de bewoordingen van de AVG en uit rechtsoverweging 202 van Schrems II.

53. In ieder geval is het voor beide uitzonderingsgronden volgens Uber niet vereist, zoals de AP stelt, dat de doorgifte ‘’incidenteel’’ is. Hoewel dit wel uit overweging 111 bij de AVG volgt, staat dit haaks op de tekst van de AVG zelf, de jurisprudentie van het HvJ-EU en de handleiding van de Rijksoverheid. Ten eerste staat ‘incidenteel’ niet in de tekst van de AVG. Sterker, er staat dat art. 49 ook gebruikt kan worden voor een reeks doorgiften. Ten tweede scheppen overwegingen bij de AVG geen nieuwe norm en hebben zij geen zelfstandige rechtskracht, zoals ook bevestigt door o.a. standaardjurisprudentie van het HvJ-EU. Ten derde hanteren rechters ‘incidenteel’ niet als voorwaarde, en moet art. 49 bij gegevensdoorgifte binnen bedrijven of bij een groep van bedrijven juist ruim worden geïnterpreteerd. Ten vierde noemt de handleiding van het Ministerie van Justitie en Veiligheid ‘incidenteel’ niet als voorwaarde. Daarnaast is voor gronden b en c wel vereist dat de doorgifte noodzakelijk is, maar hoeft dit, zo volgt uit Nederlandse rechtspraak, noodzakelijkheidsverband niet nauw en substantieel te zijn.

54. Uber betoogt dat het zich, als er wordt aangenomen dat er sprake is van internationale doorgifte, kan beroepen op art. 49 lid 1 sub c voor de situatie waarin chauffeurs AVG-verzoeken doen en op art. 49 lid 1 sub b voor gevallen waarin chauffeurs gebruikmaken van de chauffeurs-app.

55. Voor wat betreft de situatie waarin er AVG-verzoeken worden gedaan door chauffeurs, voldoet deze doorgifte aan alle voorwaarden van art. 49 lid 1 sub c AVG. In het bijzonder omdat de doorgifte

16/48

noodzakelijk is voor de sluiting of uitvoering van in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst. De overeenkomst is in het belang van de betrokkene gesloten, omdat de DSA de AVG-rechten regelt en faciliteert die de gegevensbescherming van de chauffeurs uitmaken en ondersteunen, dit volgt mede uit art. 26 AVG en de bijhorende overweging 79. De doorgifte is verder noodzakelijk voor de uitvoering van de overeenkomst. De doorgifte vindt namelijk plaats in het kader van de DSA en heeft rechtstreeks te maken met het voltooien van inzageverzoeken. Daarnaast is de gegevensdoorgifte onvermijdelijk door de gecentraliseerde IT-infrastructuur van Uber, die op haar beurt weer cruciaal is voor de specifieke dienstverlening van Uber alsook voor de wereldwijde toepassing van Uber’s technische en organisatorische AVG-maatregelen. Ten slotte is er volgens Uber sprake van zeer weinig gegevensdoorgifte in het kader van inzageverzoeken (slechts 25 per maand).

56. Voor wat betreft de situatie waarin chauffeurs gebruikmaken van de chauffeurs-app voldoet de doorgifte aan alle voorwaarden van art. 49 lid 1 sub b, en in het bijzonder de voorwaarde dat er sprake is van een doorgifte die noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke (UBV en UTI via de DSA). De noodzakelijkheid volgt volgens Uber uit het kunnen voldoen aan de overeenkomst tussen UBV en de chauffeur. Uber moet aan haar contractuele verplichting voldoen om ritten aan te bieden, en kan dit alleen doen o.b.v. gegevensdoorgifte van de chauffeur (bijv. zijn locatie). De gegevensdoorgifte is dus noodzakelijk om het contract tussen de chauffeur en Uber ten uitvoer te brengen.

4. Beoordeling 4.1 Verwerking van persoonsgegevens

57. De AP komt tot de volgende beoordeling. Voor het gebruik van de chauffeurs-app is het maken van een account voor chauffeurs verplicht. De documenten en persoonlijke informatie die tijdens deze registratie verzameld worden, stelt Uber in staat om te starten met haar verwerkingsactiviteiten van persoonsgegevens van Uber chauffeurs.

58. De AP heeft in paragraaf 2.3 vastgesteld dat Uber in dat kader verschillende gegevens verwerkt van Uber chauffeurs. Naast accountgegevens, locatiegegevens, foto’s, betalingsbewijzen en beoordelingen verwerkt Uber (afhankelijk van de wettelijke regels in een land) ook andere gegevens, zoals identiteitsbewijzen, strafrechtelijke- en gezondheidsgegevens.

59. De AP is van oordeel dat Uber dus persoonsgegevens verwerkt zoals bedoeld in artikel 4, onderdeel 1 en 2, van de AVG.

4.2 Verwerkingsverantwoordelijke en bevoegdheid AP

17/48

60. Uber B.V. is een in Nederland gevestigde vennootschap en maakt deel uit van het Uber concern. Uber Technologies Inc. is gevestigd in de Verenigde Staten en is de moedermaatschappij van onder andere Uber B.V. De (Franse) chauffeurs hebben een overeenkomst gesloten met Uber B.V.

61. De begrippen “verwerkingsverantwoordelijke” en “verwerker” zijn functionele begrippen: zij zijn bedoeld om de verantwoordelijkheden toe te wijzen volgens de daadwerkelijke rol van de partijen, wat betekent dat de juridische status van een partij als “verwerkingsverantwoordelijke” of als “verwerker” in beginsel moet worden bepaald door zijn feitelijke activiteiten in een specifieke situatie, en niet door de formele aanwijzing van een partij als “verwerkingsverantwoordelijke” of “verwerker” (bv. in een overeenkomst).32

62. Uber B.V. en Uber Technologies Inc. stellen gezamenlijk het doel van en de middelen voor de verwerking vast voor de persoonsgegevens van de Uber-chauffeurs in de Europese Economische Ruimte (EER). De AP is daarom van oordeel dat UBV en UTI als gezamenlijke verwerkingsverantwoordelijke aangemerkt moeten worden voor de internationale doorgifte dat onderdeel is van twee grotere reeksen van verwerkingsactiviteiten zoals beschreven in situatie 1 en 2. De gezamenlijke verwerkingsverantwoordelijkheid is door Uber niet betwist. Voor verzoeken met betrekking tot de rechten van betrokkenen (situatie 2) is de verdeling dat UBV verantwoordelijk is voor de beoordeling van dergelijke verzoeken en dat UTI de technische middelen en de persoonsgegevens beschikbaar stelt. UTI is ook de uitgever van de chauffeurs-app.

63. De AP stelt verder vast dat bij de verwerkingen van persoonsgegevens van de chauffeurs van Uber, gegevens worden verwerkt in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, zoals bepaald in artikel 3, lid 1 van de AVG.

64. Uber biedt tot slot haar diensten in meerdere lidstaten van de EU aan en voor deze diensten verwerkt Uber persoonsgegevens. Dit betekent dat betrokkenen in meer dan één lidstaat wezenlijke gevolgen ondervinden van de verwerking van persoonsgegevens door Uber. Daarmee is sprake van een grensoverschrijdende verwerking (artikel 4, aanhef en onder 23, sub a en b, AVG). De AP merkt op dat de centrale administratie van Uber in de EER gelegen is bij Uber B.V. Daarom wordt Uber B.V. aangemerkt als hoofdvestiging in de zin van artikel 4, onderdeel 16, AVG. De AP is gelet daarop competent om op te treden als leidende toezichthoudende autoriteit in de zin van artikel 56, eerste lid, AVG.

4.3 Territoriaal toepassingsgebied en hoofdstuk V AVG

65. Uber is van mening dat artikel 3 AVG en Hoofdstuk V AVG niet tegelijkertijd van toepassing kunnen zijn.33

32 Zie EDPB Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, p. 3 en 10. 33 Zie ‘Zienswijze Uber op onderzoeksrapport en voornemen tot handhaving’ van 9 juni 2023, punt 6.2.2., p. 28-31.

18/48

66. De AP merkt op dat de ratio van gegevensdoorgifte overeenkomstig Hoofdstuk V AVG, complementair is aan de ratio van het territoriale toepassingsgebied van de AVG zoals neergelegd in artikel 3. Namelijk het voorkomen dat de door EU-wetgeving geboden bescherming ten aanzien van gegevens wordt onthouden, of dat deze bescherming wordt ondermijnd of omzeild.34 Door EU-wetgeving van toepassing te verklaren op verwerkingen die buiten de grenzen van de EER plaatsvinden, heeft artikel 3 AVG tot doel om de door de AVG gegarandeerde hoge niveau van gegevensbescherming te waarborgen.35 Met de bepalingen in Hoofdstuk V AVG omtrent doorgifte wordt dit bewerkstelligd door op dergelijke verwerkingen de toepassing van op EU-normen gebaseerde bescherming verplicht te stellen.36 Het dient opgemerkt te worden dat hoewel de AVG van toepassing is op alle verwerkingen uit hoofde van artikel 3 AVG, de toepassing van de AVG buiten het EER-grondgebied niet eenzelfde bescherming biedt. De toepassing van de AVG in de Unie is namelijk gebaseerd op het wettelijke kader van de EU-regelgeving op het vlak van bijvoorbeeld de erkenning en tenuitvoerlegging van vonnissen/arresten, de rechtsorde, de onafhankelijkheid van de rechterlijke macht en de Gegevensbeschermingsautoriteiten en op andere elementaire vlakken die gezien hun aard niet op derde landen van toepassing zijn.37 In verschillende arresten met betrekking tot internationale gegevensdoorgifte geeft het HvJ-EU uitdrukking aan deze zorg door te beoordelen of de persoonsgegevens zijn verwerkt op een manier die aan de EU-normen voldoet.38

De AP merkt daarom op dat de bepalingen in Hoofdstuk V mechanismen bevatten, die tegenwicht bieden aan de moeite die het kost om verplichtingen uit hoofde van de EU-wetgeving tegenover partijen in derde landen af te dwingen. De AP is van mening dat iedere andere interpretatie van deze mechanismen zou leiden tot een verzwakking van de binnen de Unie geboden bescherming, hetgeen niet overeenkomt met de door het HvJ-EU verlangde norm.39

67. Ter nadere toelichting op het voorgaande merkt de AP op dat het binnen de jurisdictie van de Verenigde Staten moeilijk is om de naleving van de AVG af te dwingen tegenover buitenlandse ondernemingen waaronder Uber. Om hier tegenwicht aan te bieden, leggen de bepalingen omtrent gegevensdoorgifte in Hoofdstuk V AVG een rechtstreekse verplichting bij partijen die gegevens in derde landen verwerken, door van hen te verlangen dat zij zich aan de normen van de AVG houden.

68. Ten aanzien van Ubers argument dat artikel 3 AVG prevaleert boven Hoofdstuk V, of het argument om bepalingen uit Hoofdstuk V niet toe te passen wanneer artikel 3 AVG van toepassing is, merkt de AP op

34 Concepten in het gegevensbescherming dienen ruim worden uitgelegd, zodat niemand volledige en toereikende bescherming wordt onthouden. Deze opvatting wordt door het HvJ-EU tot uitdrukking gebracht in arresten ten aanzien van internationale verwerking van gegevens waarin wordt aangegeven dat een consistente en eenvormige toepassing van het Handvest moet worden gewaarborgd en dat moet worden voorkomen dat bescherming wordt omzeild. Zie in dat verband C-311/18, Schrems II, ECLI:EU:C:2020:559, r.o. 101 en C-131/12, Google v Spain, ECLI:EU:C:2014:317, r.o. 54 en 58. 35 Overweging 23 van de AVG. 36 C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 73. 37 Artikel 36 AVG vereist bijvoorbeeld voorafgaand overleg met de relevante Gegevensbeschermingsautoriteit in die gevallen waarin gegevensverwerking zou leiden tot een hoog risico. In de AVG staan echter geen bepalingen waarmee een bevoegde Gegevensbeschermingsautoriteit voor een gegevensverwerking buiten de Unie kan worden vastgesteld. 38 C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 90, Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, r.o. 212-215 en C-311/18, Schrems II, ECLI:EU:C:2020:559, r.o. 184. Ten aanzien van de opvatting van het HvJ-EU dat Gegevensdoorgifte ‘must ensure a high level of protection essentially equivalent to that under EU law’ in C-101/01, Bodil Lindqvist, EU:C:2003:596. 39 Zie in dat kader bijvoorbeeld C-40/17, Fashion ID GmbH & Co. KG, ECLI:EU:C:2019:629, r.o. 50.

19/48

dat iedere variatie op de beschreven interpretatie in strijd zou zijn met de status die Hoofdstuk V binnen de structuur van de AVG heeft. Artikel 44 AVG legt de verbinding tussen Hoofdstuk V en de andere bepalingen door te bepalen dat doorgiften van persoonsgegevens alleen mogen plaatsvinden indien aan alle overige relevante bepalingen van de AVG is voldaan.40 Het HvJ-EU heeft deze opvatting bevestigd door te stellen dat het doorgeven van persoonsgegevens naar een derde land een verwerking is die valt binnen de toepassingssfeer van de AVG en dat wanneer de AVG van toepassing is de bepalingen met betrekking tot gegevensdoorgifte ook van toepassing moeten zijn.41 Voorts stelt het Europees Comité voor Gegevensbescherming (hierna: EDPB) dat de toepassing van de AVG met zich meebrengt dat alle bepalingen van de AVG van toepassing zijn op verwerkingen die binnen het territoriale toepassingsgebied van de AVG vallen.42 Met inbegrip van de verplichtingen die in Hoofdstuk V van de AVG uiteengezet staan.

69. De AP merkt op dat er tussen artikel 3 AVG en Hoofdstuk V AVG belangrijke verschillen bestaan en stelt nadrukkelijk dat artikel 3 AVG niet prevaleert boven Hoofdstuk V. Bovendien kleven er gevolgen aan het niet-toepassen van Hoofdstuk V AVG. Het territoriale toepassingsgebied zoals neergelegd in artikel 3, lid 1, van de AVG houdt in dat de verordening van toepassing is op verwerkingen van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt. De AVG is dus ook van toepassing als de verwerking technisch niet in de Unie plaatsvindt, maar door een bestendige verhouding met een duurzame vestiging in de Unie (zoals een bijkantoor, of dochteronderneming) gebonden is aan de AVG. Een dergelijke verhouding wordt vrij snel aangenomen, bijvoorbeeld als de vestiging in de Unie inkomsten genereert voor de moederentiteit in het derde land. Zulks is zeker het geval tussen Uber B.V. en UTI in onderhavige zaak. De bepalingen omtrent gegevensdoorgifte zoals uiteengezet in Hoofdstuk V zien daarentegen op de specifieke context van doorgiften van persoonsgegevens aan een entiteit in een derde land door een verwerker of verwerkingsverantwoordelijke, waarbij de exporteur van de persoonsgegevens passende waarborgen moet treffen opdat de persoonsgegevens van een equivalent niveau van bescherming genieten als de AVG binnen de Unie biedt. Deze bescherming is dus complementair aan artikel 3 AVG. Deze aanvullende reeks bepalingen van de AVG stellen zowel in de praktijk als bij wet een hoge beschermingsnorm om te voorkomen dat de door EU-wetgeving geboden bescherming wordt omzeild.43

70. Uber brengt met betrekking tot de relatie tussen artikel 3 AVG en hoofdstuk V AVG tot slot naar voren dat de AVG (zijnde afgeleid Unierecht) moet worden uitgelegd in overeenstemming met internationale afspraken, in onderhavig geval de WTO-overeenkomsten.

40 In artikel 44 AVG staat dat gegevens slechts mogen worden doorgegeven indien aan de in Hoofdstuk V opgenomen voorwaarden is voldaan, hetgeen met zich meebrengt dat naleving moet worden gegarandeerd voordat de doorgifte plaatsvindt. 41 C-311/18, Schrems II, ECLI:EU:C:2020:559, r.o. 83. 42 EDPB Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3), p. 5. 43 Het HvJ-EU merkte in zijn arresten op dat de AVG voldoende bescherming moet bieden, zowel in het recht als in de praktijk, zie C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 64-65 en 95, Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, randnummer 220. C-311/18, Schrems II, ECLI:EU:C:2020:559, r.o. 105 en 187.

20/48

71. Uber constateert ten eerste dat de Europese Unie, en elk van haar lidstaten, partij is bij de Overeenkomst van Marrakesh tot oprichting van de Wereldhandelsorganisatie (WTO-overeenkomst)44 en de bijlagen bij de WTO-overeenkomst (waaronder het GATS-akkoord).45 Uit deze internationale afspraken volgt dat de niet-Europese entiteiten, zoals UTI, niet nadeliger mogen behandelen dan Europese entiteiten door de participerende staten. Omdat volgens Uber een gelijktijdige toepassing van zowel de verplichtingen van de AVG op basis van artikel 3 AVG en hoofdstuk V AVG nadeliger uitpakt voor UTI als niet-Europese entiteit, is Uber van oordeel dat beide systemen niet van gelijktijdige toepassing kunnen zijn. Concluderend is de uitleg van de AP, te weten dat hoofdstuk V en artikel 3 AVG gelijktijdig toegepast kunnen worden, volgens Uber in strijd met internationale verplichtingen van de EU.

72. Hoewel de AP niet zal betwisten dat de AVG in beginsel zoveel mogelijk moet worden uitgelegd in overeenstemming met internationale afspraken, moet zij vaststellen dat Uber in haar betoog miskent dat in de jurisprudentie reeds is vastgesteld dat er voor de Uber voorgestane uitleg wel aan twee cumulatieve voorwaarden moet worden voldaan, te weten:

1. De aard en de opzet van die overeenkomst (de WTO-overeenkomst in dit geval) staan er niet aan in de weg om een beroep tot nietigverklaring of exceptie van onwettigheid van (afgeleid) Unierecht (de AVG) op te roepen; 2. De bepaling (de WTO-overeenkomst) is inhoudelijk voldoende onvoorwaardelijk en voldoende nauwkeurig om een beroep tot nietigverklaring of exceptie van onwettigheid van afgeleid Unierecht (de AVG) te kunnen bewerkstelligen.46

73. Uit vaste rechtspraak volgt dat de WTO-overeenkomst niet voldoet aan in ieder geval het eerste vereiste. De aard en de opzet ervan verzet zich tegen voorrang van de WTO-overeenkomst over de AVG. Tevens verzet het zich tegen de stelling dat de WTO-overeenkomst leidend is voor de interpretatie van afgeleid Unierecht (zoals de AVG).47 De AP houdt dus ook in dit kader vast aan haar standpunt dat artikel 3 AVG (en alle verplichtingen die daaruit volgen)en hoofdstuk V AVG gelijktijdig van toepassing zijn in deze zaak.

74. Daarbij komt dat lid 3 van de inleiding van de bijgevoegde lijst waaraan Uber refereert in haar schriftelijke zienswijze48, met zoveel woorden stelt dat de uit de GATS voortvloeiende rechten en verplichtingen, met inbegrip van de lijst van de verbintenissen, geen directe werking hebben, “zodat er niet rechtstreeks rechten voor individuele natuurlijke of rechtspersonen uit voortvloeien.’’ Uber kan dus geen beroep doen op WTO-overeenkomst en de bijhorende GATS-verbintenissen in onderhavige zaak.

4.4 Is er sprake van doorgifte van persoonsgegevens?

44 Marrakesh Agreement establishing the World Trade Organization, 15 april 1994. 45 General Agreement on Trade in Services, 15 april 1994. 46 Zie met name arrest van 13 januari 2015, Raad e.a./Vereniging Milieudefensie en Stichting Stop Luchtverontreiniging Utrecht, C-401/12 P–C-403/12 P, EU:C:2015:4, r.o. 54 en aldaar aangehaalde rechtspraak. 47 Zie met name arresten van 23 november 1999, Portugal/Raad, C 149/96, EU:C:1999:574, r.o. 47; 1 maart 2005, Van Parys, C 377/02, EU:C:2005:121, r.o. 39, en 4 februari 2016, C & J Clark International en Puma, C 659/13 en C 34/14, EU:C:2016:74, r.o. 85. 48 Bij de Algemene Overeenkomst inzake de handel in diensten (GATS) gevoegde lijst van specifieke verbintenissen van de Europese Unie (PbEU 2019/C 278), p. 59.

21/48

4.4.1 Juridisch kader

75. In artikel 44 AVG is bepaald dat “persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.”

76. Voorts wordt in overweging 101 AVG opgemerkt “[.] Wanneer persoonsgegevens echter van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook in gevallen van verdere doorgiften van persoonsgegevens van het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. [.] Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening. Een doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens aan derde landen of internationale organisaties naleeft.”

77. In de AVG wordt geen definitie van 'doorgifte' gegeven. In haar Richtsnoeren heeft de EDBP echter drie cumulatieve criteria vastgesteld waaraan een doorgifte dient te voldoen:

1. Een verwerkingsverantwoordelijke of een verwerker (“exporteur”) valt voor de bepaalde verwerkingsactiviteit onder de AVG. 2. Persoonsgegevens die het voorwerp van deze verwerking zijn, worden door de exporteur door middel van doorzending verstrekt of op andere wijze ter beschikking gesteld aan een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (“importeur”).49

3. De importeur bevindt zich in een derde land (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel 3 onder de AVG valt) of is een internationale organisatie.50

78. Indien aan de bovengenoemde criteria is voldaan, is er sprake van doorgifte en is Hoofdstuk V AVG van toepassing. Dit betekent dat de doorgifte alleen mag plaatsvinden onder de in een adequaatheidsbesluit van de Europese Commissie gestelde voorwaarden51 of door het bieden van passende waarborgen.52 Indien hier niet aan wordt voldaan dan voorziet de AVG in afwijkingen (uitzonderingen) voor specifieke situaties.53

49 Zie ook EDPB Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG. 50 EDPB Richtsnoeren05/2021 over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen inzake internationale doorgiften overeenkomstig hoofdstuk V van de AVG, p. 7. 51 Artikel 45 AVG. 52 Artikel 46 AVG. 53 Artikel 49 AVG.

22/48

79. In de onderhavige zaak beoordeelt de AP of in de situatie 1 een 2 beschreven verwerkingen zijn aan te merken als doorgiften van persoonsgegevens waarbij aan de in Hoofdstuk V AVG uiteengezette bepalingen dient te worden voldaan.

4.4.2 Beoordeling

80. Ten aanzien van het eerste criterium stelt de AP vast dat de verwerking voldoet aan de vereisten van artikel 3, lid 1 AVG, namelijk dat een verwerkingsverantwoordelijke of verwerker ten aanzien van de betreffende verwerking onder de AVG valt.54 Deze conclusie wordt door Uber erkend. Meer in het bijzonder heeft Uber verklaard dat UBV, met betrekking tot de verwerkingen van de persoonsgegevens van Uber-chauffeurs in de EER, onder de AVG valt. En Uber stelt verder nadrukkelijk dat zowel UBV als UTI op grond van artikel 3, lid 1 AVG gebonden is aan de AVG.

81. Ten aanzien van het tweede criterium stelt Uber dat er geen sprake is van doorgifte. Uber licht dit toe door het volgende te stellen: “Hoofdstuk V van de AVG niet van toepassing op bepaalde aspecten van Ubers bedrijfsvoering en kunnen de daarmee verband houdende internationale gegevensstromen niet als internationale gegevensdoorgifte worden aangemerkt” omdat UBV en UTI gezamenlijke verwerkingsverantwoordelijken zijn voor wie de AVG rechtstreeks van toepassing is uit hoofde van artikel 3, lid 1 AVG. Ondanks deze redenering erkent Uber desalniettemin dat er tussen UBV en UTI gegevens worden doorgezonden. Maar volgens hun schriftelijke verklaringen zijn zij van mening dat deze niet als doorgiften aangemerkt dienen te worden omdat zowel UBV als UTI onder de AVG valt.55

82. De AP is anders van oordeel. Zoals eerder opgemerkt, het niet toepassen van Hoofdstuk V AVG omdat UBV en UTI rechtstreeks onder de AVG vallen, zou ertoe leiden dat het hoge beschermingsniveau van de AVG wordt ondermijnd. Doorgiften kunnen plaatsvinden onder verschillende soorten omstandigheden waarbij entiteiten op grond van artikel 3 AVG onder de AVG vallen. Doorgiften tussen gezamenlijke verwerkingsverantwoordelijken die onder artikel 3 vallen kunnen ook plaatsvinden en zijn niet uitgesloten van de bepalingen van de AVG inzake doorgifte. Deze opvatting is in overeenstemming met de stellingname van de EDPB zoals weergegeven in het tweede criterium voor doorgifte: “Persoonsgegevens die het voorwerp van deze verwerking zijn, worden door de exporteur door middel van doorzending verstrekt of op andere wijze ter beschikking gesteld aan een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (“importeur”)”.

83. Het HvJ-EU verlangt dat gegevensbescherming bij wet maar ook in de praktijk doeltreffend is. Dit houdt in dat er doeltreffende verhaalmechanismen en rechtsmiddelen tegen schendingen van de AVG voorhanden moeten zijn.56 Als de betreffende verwerking onder de AVG valt en de persoonsgegevens worden door een entiteit buiten de Unie verwerkt, dan valt de verwerking onder wettelijke kaders die mogelijk in strijd zijn

54 Zie ook paragraaf 4.2. en EDPB Richtsnoeren 3/2018 over het Territoriale toepassingsgebied van de AVG (artikel 3). 55 Dossierstuk 11, Antwoord op inlichtingenverzoek 1, Bijlage bij International Data Flows, p. 6. 56 Zie ook EDPB Richtsnoeren 3/2018 over het Territoriale toepassingsgebied van de AVG (artikel 3) en C-311/18; Schrems II, ECLI:EU:C:2020:559, r.o. 186-189.

23/48

met de AVG of deze ondermijnen. Regelgeving omtrent internationale doorgifte biedt daarom tegenwicht aan het moeizaam kunnen afdwingen van verplichtingen uit hoofde van EU-wetgeving tegenover partijen buiten de Unie.

84. Het begrip verwerkingsverantwoordelijke zoals neergelegd in artikel 4, aanhef en onder punt 7, van de AVG moet volgens het HvJ-EU ruim worden opgevat om zo een doeltreffende en volledige bescherming van de betrokkenen te verzekeren.57 Deze opvatting moet naar het oordeel van de AP analoog worden toegepast op het begrip ‘exporteur’. Een restrictieve uitleg van het criterium 'exporteur' zou betekenen dat de Uber-chauffeurs niet doeltreffend en volledig worden beschermd, omdat er dan geen sprake zou zijn van een aanspreekbare exporteur die verantwoordelijkheid draagt voor het nakomen van verplichtingen over de doorgifte van persoonsgegevens buiten de EER. De exporteur is de entiteit die moet voldoen aan de regelgeving omtrent doorgifte van Hoofdstuk V en moet beoordelen welke passende waarborgen nodig zijn, zodat een equivalent niveau van bescherming voor persoonsgegevens (zoals gegarandeerd onder de AVG) is verzekerd. Daarnaast moet de betrokkene de verwerkingsverantwoordelijke kunnen aanspreken op zijn of haar verantwoordingsplicht in de zin van artikel 5, lid 2 jo. 44 AVG.

85. Bovendien verlangt het HvJ-EU dat uit de Unie afkomstige persoonsgegevens een hoog beschermingsniveau moeten genieten, zelfs als zij worden verwerkt in of worden doorgegeven aan derde landen. Iedere uitleg of tenuitvoerlegging van de bepalingen van artikel 3 en Hoofdstuk V dient aan die norm te voldoen. Ook hierom is de AP van oordeel dat het begrip ‘exporteur’ in het tweede criterium zoals deze is uitgewerkt in de Richtsnoeren van de EDPB, niet restrictief mag worden uitgelegd.

86. Ook door ontwikkelingen in het recht en de rechtspraak strookt een restrictieve uitleg niet met het doel om een hoog beschermingsniveau te bieden aan persoonsgegevens. Vanaf het moment dat het Handvest van de Grondrechten van de Europese Unie (hierna: Handvest) primair recht werd,58 heeft het HvJ-EU beroep gedaan op het Handvest ter benadrukking van de hoge mate van bescherming voor internationale doorgiften in de context van internationale overeenkomsten van de Unie,59 adequaatheidsbesluiten van de Commissie60 en de standaardcontractbepalingen van de Commissie (SCC’s).61 In het licht van deze arresten beziet de AP internationale doorgiften vanuit het oogpunt dat het verschaffen van een hoog beschermingsniveau het uitgangspunt is en legt de AP het begrip 'exporteur' ruim uit.

87. In de onderhavige zaak, en de technische ontwikkelingen in aanmerking nemende, wijkt het criterium 'exporteur' (een verwerkingsverantwoordelijke of verwerker in de EER die persoonsgegevens aan een derde land doorgeeft) af van het zogenaamde klassieke model. Om dit te illustreren merkt de AP op dat binnen de gegeven context door Uber aan de betrokkene - de Uber-chauffeur in de EER – uitgebreide instructies worden verstrekt over het aanleveren van specifieke persoonsgegevens. Bovendien dienen de Uber-chauffeurs zich te houden aan door de Uber vooraf gestelde voorwaarden ten aanzien van onder

57 Zie bijvoorbeeld C-210/16, Unabhängiges Zentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein, ECLI:EU:C:2017:796, r.o. 28 en C-25/17, Jehovah’s witnesses, ECLI:EU:C:2018:551, r.o. 66. 58 Zie ook artikel 6, lid 1 VWEU. 59 Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, randnummer 119-231. 60 C-362/14, Schrems , ECLI:EU:C:2015:650, r.o. 38-40. 61 C-311/18, Schrems II, ECLI:EU:C:2020:559, r.o. 99.

24/48

andere de verwerking van hun persoonsgegevens in de context van een (pre)contractuele arbeidsverhouding. Verder dienen de Uber-werknemers in de EER, bijvoorbeeld UBV-werknemers, zich te houden aan de interne beleidsregels van Uber die de bemiddeling tussen de Uber-chauffeur en UTI voorschrijven.62 Uber legde ook uit dat wanneer een Uber-chauffeur bijvoorbeeld problemen ondervindt bij het nemen van de verplichte profielfoto voor de chauffeurs-app, de Uber-chauffeur naar een Greenlight Hub locatie in de EER kan gaan waar een medewerker de Uber-chauffeur (ter plekke) helpt bij het nemen van een foto met de smartphone van de Uber-chauffeur. De Uber-chauffeur kan dan met de instructie van de medewerker de profielfoto uploaden naar het door UTI beheerde Uber IT-platform. In dit specifieke geval worden de persoonsgegevens technisch doorgegeven vanaf het persoonlijke device van de betrokkene vanuit de EER naar het door UTI beheerde Uber-platform dat zich in een derde land bevindt. Ondanks deze door Uber geïnstrueerde verwerkingsactiviteiten, die voorafgaand aan en tijdens de contractuele verhouding plaatsvinden tussen de Uber-chauffeur en UBV, schrijft Uber echter de continue doorgifte van persoonsgegevens vanuit de EER naar een derde land in situatie 1 en 2 toe aan de betrokkene.

88. De AP merkt op dat de Uber-chauffeurs hun persoonsgegevens verstrekken door deze op het Uber-platform in te voeren en dat deze via het persoonlijke device van de Uber-chauffeur, binnen de EER, door Uber worden verzameld en op de IT-systemen van Uber (beheerd door UTI) in de Verenigde Staten terecht komen. Dit resulteert in gegevensverkeer van persoonsgegevens vanuit de EER naar de Verenigde Staten. Naar het oordeel van AP betekent dit echter geenszins dat het door Uber doorzenden van gegevens, zoals dit plaatsvond en nog steeds plaatsvindt overeenkomstig de beschrijving van situatie 1 en 2, geen doorgiften van persoonsgegevens van UBV naar UTI in de zin van de AVG betreffen.63 Uber gebruikt de chauffeurs-app als een technische tool om de persoonsgegevens vanuit de EER naar de Verenigde Staten door te geven. UBV draagt daarom medeverantwoordelijkheid en heeft (technische) zeggenschap over de doorgifte van persoonsgegevens vanuit de EER naar de Verenigde Staten.

89. Voorts is de AP van oordeel dat de vraag of er sprake is van internationale doorgifte niet slechts beoordeeld moet worden aan de hand van de vaststelling dat het de chauffeur is die via zijn privé-device de chauffeurs-app bediend. Ook moet in overweging worden genomen dat Uber een grote mate van invloed uitoefent op de context waarin die handelingen en de wil van de chauffeur tot stand komen. Die context bestaat uit diverse door Uber vooropgezette elementen die de chauffeur in feite geen andere keuze laat dan de gegevens in te voeren in de app van Uber. In het navolgende zal uitgelegd worden welke elementen dit zijn en hoe zij de context bepalen waarin de gegevensdoorgiften tot stand komen. Duidelijk zal worden dat de toerekening van de doorgifte aan de chauffeur door Uber (die slechts een schakel van geringe betekenis in het gehele proces en de context van de verwerking) een ondermijning is van de bescherming die de AVG biedt voor het verwerken van persoonsgegevens.

62 Een voorbeeld van deze beleidsregels werd tijdens de zienswijzezitting nader toegelicht, zie de notulen van de op 5 juli 2023 gehouden zienswijzezitting. 63 Met uitzondering van het geval waarbij door Uber persoonsgegevens van de VS naar de EER verstuurd worden bij de beantwoording van verzoeken van betrokkenen over de uitoefening van hun AVG-rechten.

25/48

90. Ten eerste zijn het moderne verdienmodel alsmede de technische architectuur van het platform en de interne beleidsregels van Uber dusdanig ingericht dat zij de bedrijfsdoeleinden van Uber dienen. In de onderhavige zaak wordt UBV, die een overeenkomst aangaat met de Uber-chauffeurs (op EER-grondgebied), aangemerkt als de verwerkingsverantwoordelijke die in een precontractuele arbeidsgerelateerde verhouding aanzet geeft tot de verzameling van persoonsgegevens via het Uber platform. De chauffeurs verstrekken in dit stadium hun persoonsgegevens via hun persoonlijke device, binnen de EER, op het platform van de chauffeurs-app dat wordt beheerd door UTI dat zich bevindt buiten de Unie. Vanaf dat moment verzamelt en verwerkt Uber continue persoonsgegevens via het persoonlijke device van de Uber-chauffeur. Vervolgens worden de persoonsgegevens van Uber-chauffeurs in de EER door middel van doorzending of anderszins toegankelijk gemaakt voor, en bewaard op, de servers van UTI in de Verenigde Staten. De AP stelt derhalve vast dat in de contractuele verhouding tussen de Uber-chauffeurs binnen de EER en UBV, UBV de exporteur van de persoonsgegevens is en UTI de importeur.

91. Deze opvatting strookt met 'het bieden van doeltreffende en volledige bescherming' van persoonsgegevens die door het HvJ-EU wordt verlangd. Voorts is deze uitleg niet in strijd met de Richtsnoeren.64 De Richtsnoeren geven diverse voorbeelden aan de hand waarvan wordt geïllustreerd in welke situaties een verwerking als een doorgifte zou moeten worden aangemerkt. Een voorbeeld van een situatie zoals die zich in de onderhavige zaak voordoet, meer in het bijzonder een voorbeeld van een 'exporteur' in de context van een (pre)contractuele arbeidsgerelateerde verhouding, wordt echter niet gegeven. In dit geval verstrekken de betrokkenen de persoonsgegevens via hun persoonlijke device op het platform dat door een entiteit uit een derde land wordt beheerd, UTI. De contractuele verhouding tussen Uber-chauffeurs in de EER en UBV - waarbij de voorwaarden vooraf eenzijdig door Uber zijn bepaald - maakt het voor Uber-chauffeurs in de EER mogelijk om toegang tot het platform voor Uber-chauffeurs te krijgen. Voor de kernactiviteit, namelijk het verlenen van vervoersdiensten op het platform van Uber, is het nodig dat de Uber-chauffeur persoonsgegevens uploadt en dat Uber voortdurend persoonsgegevens vanaf het device van de Uber-chauffeur vergaart. De persoonsgegevens worden vervolgens ten behoeve van diverse door UBV en UTI gezamenlijk vastgestelde doeleinden verwerkt, waarbij doorgiften vanuit de EER naar de Verenigde Staten plaatsvinden.

92. De zienswijze van de AP, waarin UBV als de 'exporteur' en UTI als de 'importeur' worden aangemerkt, wordt bovendien bevestigd door onderstaande bijzonderheden in de verhouding tussen de Uber-chauffeurs en Uber (UBV en UTI).

 Het platform voor Uber-chauffeurs is door Uber op een dusdanige manier ingericht dat de Uber-chauffeur zijn persoonsgegevens via hun persoonlijke device op het platform moet invoeren om toegang tot het platform te krijgen, activiteiten te plannen (d.w.z. informatiegebeurtenissen), ondersteuning te krijgen en vervoersdiensten te verrichten. Ook bepaalt Uber dat de persoonsgegevens van de chauffeurs in de EU op het platform van UTI in een derde land worden verwerkt. De geringe feitelijke invloed die Uber-chauffeurs over hun persoonsgegevens hebben ten opzichte van de verwerkingsverantwoordelijken is een belangrijke factor om in de onderhavige zaak UBV te kwalificeren als exporteur;

64 EDPB Richtsnoeren 05/2021 over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen inzake internationale doorgiften overeenkomstig hoofdstuk V van de AVG.

26/48

 Voor wat betreft het verzamelen van persoonsgegevens en/of het anderszins verwerken van persoonsgegevens van Uber-chauffeurs via het Uber-platform door UBV en UTI, herhaalt AP nogmaals dat de doelen en middelen voor de verwerking van persoonsgegevens eenzijdig door UBV en UTI worden bepaald. Als een betrokkene beslist om Uber-chauffeur te worden in de EU, dan vereist dit een account op het Uber-platform65 en vervolgens de acceptatie van de algemene voorwaarden. Door akkoord te gaan met de algemene voorwaarden, gaat de Uber-chauffeur een contract met UBV aan waarmee de Uber-chauffeur vervolgens wordt onderworpen aan de vooraf bepaalde doelen en middelen voor de verwerking van hun persoonsgegevens door UTI en UBV;

 De AP merkt nadrukkelijk op dat hoewel de Uber-chauffeurs het contract uit vrije wil hebben afgesloten, dat dit niet automatisch betekent dat zij invloed hebben op het bepalen van de doelen van en de middelen voor het verwerken van hun eigen persoonsgegevens. Temeer daar de algemene voorwaarden die Uber-chauffeurs moeten accepteren, vooraf zijn opgesteld en daar niet over onderhandeld kan worden. Voorts oefent Uber volledig gezag uit ten aanzien van de activiteiten op het platform en de uit deze activiteiten voortvloeiende gegevensverwerkingen. Uber beïnvloedt bijvoorbeeld bepaalde aspecten van het gedrag van Uber-chauffeurs door het geven van financiële prikkels om meer ritten uit te voeren en door passagiers hun Uber-chauffeur te laten beoordelen, hetgeen ertoe kan leiden dat de Uber-chauffeur van het platform kan worden uitgesloten.66

93. De AP heeft bovendien geconstateerd dat Uber via hun platform ook op andere manieren de controle heeft over het gedrag van de Uber-chauffeurs en hun persoonsgegevens, namelijk:

 Uber-chauffeurs worden aangestuurd door een algoritme van de chauffeurs-app welke vooraf door Uber is vastgesteld en door middel waarvan Uber controle uitoefent over de gegevensverwerking.67 Bovendien stelt Uber bepaalde eisen waaraan een Uber-chauffeur moet voldoen. Om aan te tonen dat aan deze eisen wordt voldaan, dient de Uber-chauffeur documenten met persoonsgegevens op het platform te uploaden. Zo moet men als Uber-chauffeur bijvoorbeeld in het bezit zijn van een auto. De voertuigen waarmee namens Uber mag worden gereden, moeten aan bepaalde voorwaarden voldoen die van land tot land waar de Uber-vervoersdiensten worden verleend, lijken te verschillen. De voertuigen moeten zijn goedgekeurd en voldoen aan de voorwaarde van een verplichte verzekering. De chauffeur moet verder in het bezit zijn van een rijbewijs en mag geen strafblad hebben. Deze documenten worden door UBV en UTI beoordeeld, nog voordat een Uber-chauffeur toestemming en/of toelating wordt gegeven om ritten in zijn buurt te accepteren.

 Op basis van de kwaliteit van de chauffeur en het type voertuig zijn de door Uber aangeboden vervoersdiensten in categorieën onderverdeeld. [vertrouwelijk]

65 De persoonsgegevens van de Uber-chauffeur worden vervolgens ingevoerd op servers die eigendom zijn van en beheerd worden door UTI. Deze servers staan in de Verenigde Staten waar de persoonsgegevens verder worden verwerkt. 66 Rechtbank van Amsterdam, ECLI:NL:RBAMS:2021:5029, r.o. 1.13. 67 Ibid, r.o. 16-35.

27/48

[vertrouwelijk] [vertrouwelijk] [vertrouwelijk] Het resterende bedrag wordt aan de Uber-chauffeur uitbetaald.68 Teneinde dit uit te voeren, worden de persoonsgegevens van Uber-chauffeurs door UTI en UBV verwerkt.

 Uber stelt passagiers in staat toegang te krijgen tot hun platform en de vervoersdiensten uit te voeren met inachtneming van de door Uber opgelegde algemene voorwaarden die bindend zijn voor de chauffeurs door middel van een overeenkomst voor het gebruik van het platform. De voorwaarden zien op het aanvaarden en nastreven van activiteiten en zelfs op het gedrag van chauffeurs tijdens het verlenen van de dienst. Zoals eerder beschreven bevat de chauffeurs-app bijvoorbeeld een beoordelingsfunctie waarmee passagiers de chauffeurs kunnen beoordelen en vice versa. Hiervoor heeft de betreffende passagier de persoonsgegevens van zijn Uber-chauffeur nodig zodat hij de kwaliteit van de rit en andere aspecten van de door de Uber-chauffeur verzorgde rit kan beoordelen. Een gemiddelde beoordeling die onder de drempelwaarde valt, kon (voorheen) leiden tot uitsluiting van het platform, met name bij chauffeurs. Uber oefent derhalve controle uit over de kwaliteit van de door hun chauffeurs verleende diensten. Uber kan deze activiteiten niet uitvoeren zonder persoonsgegevens te verwerken. Met name de toegang tot het platform verlenen en weigeren, vereist persoonsgegevens over de desbetreffende Uber-chauffeur.

 Zoals al eerder gezegd, kent Uber verschillende classificaties toe aan de Uber-chauffeurs zoals Gold, Platinum of Diamond. Teneinde deze activiteiten uit te voeren voor de bovengenoemde doelen, houdt Uber informatie bij over chauffeurs.

 Chauffeurs die veel ritten maken worden door Uber financieel beloond. Uber informeert chauffeurs waar en wanneer zij kunnen rekenen op een groot aantal ritten en/of voorkeursritprijzen. Op het platform gemelde meningsverschillen tussen een passagier en chauffeur, bijvoorbeeld over de ritprijs, worden ook door Uber afgehandeld. Uber kan eenzijdig beslissen om de ritprijs (geheel of gedeeltelijk) aan de passagier te restitueren, waarna de chauffeur een lager bedrag uitbetaald krijgt voor de rit.69

94. Op basis van het bovenstaande kan worden geconcludeerd dat de activiteiten van Uber op EER-grondgebied en daarbuiten bestaan uit het aanbieden van ritten in een voertuig dat door middel van het platform wordt gelokaliseerd en geboekt. Het verlenen van deze dienst vormt de kern van het verdienmodel van Uber. De dienst wordt ook op die manier aangeboden en opgevat door de aanvragers van ritten. Wanneer aanvragers van ritten besluiten gebruik te maken van het Uber-platform, zijn zij op zoek naar een vervoersdienst die bepaalde functies en een specifieke kwaliteitsstandaard biedt. Dergelijke aspecten worden door Uber vooraf bepaald en gegarandeerd. De AP is daarom van mening dat Uber zeggenschap uitoefent over belangrijke aspecten van de via hun platform aangeboden vervoersdienst. Dit type zeggenschap betreft onder meer de vergaring en verdere verwerking van de persoonsgegevens van Uber-chauffeurs in de EER, waaronder de doorgifte van hun persoonsgegevens aan derde landen.

68 C-434/15, Asociación Profesional Élite Taxi v Uber Systems Spain SL, ECLI:EU:C:2017:981, r.o. 48. 69 Rechtbank van Amsterdam, ECLI:NL:RBAMS:2021:5029, r.o. 1.16.

28/48

95. In de onderhavige zaak merkt de AP nadrukkelijk op dat de desbetreffende verwerking niet aangemerkt kan worden als 'interne verwerking'.70 Er is namelijk sprake van twee verwerkingsverantwoordelijken, UBV gevestigd in de EU en UTI gevestigd in de Verenigde Staten. Deze entiteiten bepalen gezamenlijk de doelen van en middelen voor de verwerkingen van persoonsgegevens van Uber-chauffeurs zoals omschreven in situatie 1 en 2. Voorts hebben de betrokkenen in kwestie geen zeggenschap over deze doelen en middelen voor de verwerking van de betreffende persoonsgegevens. De Uber-chauffeurs kunnen derhalve voor de verwerkingen van persoonsgegevens zoals omschreven in situatie 1 en 2 niet worden aangemerkt als verwerkingsverantwoordelijken in de zin van de AVG.

96. Tot slot, het derde criterium vereist dat “de importeur zich in een derde land bevindt (ongeacht of deze importeur al dan niet voor de bepaalde verwerkingsactiviteit overeenkomstig artikel 3 onder de AVG valt) of is een internationale organisatie.” In de onderhavige zaak bevindt UTI zich geografisch in de Verenigde Staten en importeert het de persoonsgegevens van Uber-chauffeurs vanuit de EER naar een derde land in de zin van de AVG.

4.4.3 Conclusie

97. De AP komt tot de conclusie dat de bepalingen omtrent gegevensdoorgifte in Hoofdstuk V AVG complementair zijn aan artikel 3 AVG. Doorgifte van persoonsgegevens tussen gezamenlijke verwerkingsverantwoordelijken die onder artikel 3 vallen zijn niet uitgesloten van de bepalingen van de AVG inzake internationale doorgifte. Hiermee wordt voorkomen dat de door EU-wetgeving geboden bescherming ten aanzien van persoonsgegevens kan worden ondermijnd of omzeild.

98. Ten tweede, uit artikel 44 AVG (en overweging 101 AVG) volgt voldoende duidelijk dat verkeer van persoonsgegevens van de Unie aan een entiteit in een derde land een doorgifte betreft. De AP stelt vast dat in dit geval sprake is van doorgifte in de zin van artikel 44 AVG, omdat er persoonsgegevens van de EER naar de Verenigde Staten (een derde land) worden doorgegeven. De AP merkt verder op dat ook is voldaan aan alle criteria voor doorgifte zoals deze in de Richtsnoeren zijn vastgesteld. De verwerkingen van persoonsgegevens zoals beschreven in situatie 1 en 2 worden aldus aangemerkt als doorgiften vanuit de EER naar de Verenigde Staten.71

99. De doorgifte door UBV aan UTI betekent dat de exporteur, UBV, de verplichtingen uit hoofde van de AVG dient na te leven, waaronder Hoofdstuk V AVG. Ten slotte dient UBV te garanderen dat het door de AVG gewaarborgde beschermingsniveau van natuurlijke personen niet wordt ondermijnd. Meer in het bijzonder dient UBV te beoordelen of het doorgifte-instrument dat zij wil gebruiken doeltreffend is in het licht van de wet en de juridische praktijk die in het derde land van kracht is. 72

70 In andere woorden, wanneer gegevens niet door middel van doorzending worden verstrekt of op andere wijze ter beschikking worden gesteld aan een andere verwerkingsverantwoordelijke of verwerker, ook wanneer die verwerking buiten de EU plaatsvindt, zie EDPB Richtsnoeren 05/2021 over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen inzake internationale doorgiften overeenkomstig hoofdstuk V van de AVG, randnummer 17. 71 Met uitzondering van het geval waarbij door Uber persoonsgegevens van de VS naar de EER verstuurd worden bij de beantwoording van verzoeken van betrokkenen over de uitoefening van hun AVG-rechten. 72 EDPB Richtsnoeren 05/2021 over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen inzake internationale doorgiften overeenkomstig hoofdstuk V van de AVG, p. 15, randnummer 25-27.

29/48

4.5 Had Uber een doorgifte-instrument?

4.5.1 Juridisch kader

100. Artikel 45, lid 1 AVG bepaalt: “Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.

101. Op 10 juli 2023 heeft de Europese Commissie het Adequaatheidsbesluit genomen. Dit Adequaatheidsbesluit heeft “tot gevolg dat doorgifte door verwerkingsverantwoordelijken en verwerkers in de Unie aan gecertificeerde organisaties in de Verenigde Staten zonder verdere toestemming kan plaatsvinden. Dit doet geen afbreuk aan de directe toepassing van Verordening (EU) 2016/679 op dergelijke entiteiten, voor zover is voldaan aan de voorwaarden betreffende het territoriale toepassingsgebied zoals vastgelegd in artikel 3 van die verordening.”73

102. Artikel 46, lid 1 AVG bepaalt: “Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.”

103. In artikel 46, lid 2 AVG is bepaald dat “de in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist: a) een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen; b) bindende bedrijfsvoorschriften overeenkomstig artikel 47; c) standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld; d) standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd; e) een overeenkomstig artikel 40 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of f) een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen."

In artikel 46, lid 3 AVG is bepaald dat “onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name: a) contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of […]

73 Besluit van de Europese Commissie van 10 juli 2023 inzake 'the adequate level of protection of personal data under the EU-US Data Privacy Framework' (C2023/ 4745 final), randnummer 8, p. 3.

30/48

4.5.2 Beoordeling

104. Artikel 44 AVG beschrijft het algemene beginsel inzake doorgiften, waarin wordt opgemerkt dat de bepalingen van Hoofdstuk V toegepast dienen te worden opdat het door AVG gewaarborgde beschermingsniveau niet wordt ondermijnd als de persoonsgegevens naar een derde land worden doorgegeven.74 Hoofdstuk V is bovendien bedoeld om te waarborgen dat de uit de EU-wetgeving voortvloeiende beschermingsstandaard niet wordt omzeild door middel van doorgiften van persoonsgegevens aan een derde land met het doel daar te worden verwerkt.75

105. Bij ontstentenis van een adequaatheidsbesluit in de zin van artikel 45 AVG, mocht tussen 16 juli 2020 en 10 juli 2023 de doorgifte van persoonsgegevens naar de Verenigde Staten alleen plaatsvinden mits er passende waarborgen werden geboden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikten. De AP overweegt daarbij dat deze door de verwerkingsverantwoordelijke geboden passende waarborgen dienen te garanderen, dat de rechten van de personen van wie gegevens worden doorgegeven een beschermingsniveau genieten die in essentie gelijk is aan het niveau dat uit de AVG volgt, bezien in het licht van het Handvest.

106. De EDPB stelt in haar richtsnoeren dat “wanneer er een beroep wordt gedaan op een van de in artikel 46, AVG genoemde doorgifte-instrumenten, moet worden beoordeeld of dit een beschermingsniveau van de doorgegeven gegevens waarborgt dat in wezen gelijkwaardig is aan het niveau dat in de EU wordt gewaarborgd, of dat er aanvullende maatregelen moeten worden genomen en wanneer een verwerkingsverantwoordelijke of een verwerker gegevens doorgeeft aan een importeur in een derde land waarvan de verwerking onder artikel 3, lid 2, AVG valt, kan de door de AVG geboden bescherming eveneens worden ondermijnd door het rechtskader dat op de importeur van toepassing is.”76 De AP stelt vast dat waar de AVG rechtstreeks van toepassing is op basis van artikel 3, lid 1 AVG, dezelfde argumentatie kan worden gevolgd wanneer een van de gezamenlijke verwerkingsverantwoordelijke buiten de Unie is gevestigd. De AP merkt voorts op dat wanneer persoonsgegevens op EER-grondgebied worden verwerkt deze niet alleen worden beschermd door de bepalingen in de AVG, maar ook door andere wetgeving van de EU en lidstaten. Wanneer persoonsgegevens worden doorgegeven en/of toegankelijk gemaakt voor entiteiten buiten het EER-grondgebied, is het binnen de Unie geboden overkoepelende juridische kader niet langer van toepassing. Ter zake daarvan is in Hoofdstuk V AVG een mechanisme opgezet dat ervoor moet zorgen dat het door de AVG gewaarborgde beschermingsniveau van natuurlijke personen niet wordt ondermijnd. De mechanismen voor gegevensdoorgifte bieden aanvullende bepalingen om de benodigde waarborgen te garanderen die moeten voorkomen dat de bescherming die de AVG en het bredere juridische kader van de EER biedt, door buitenlandse wetgeving wordt ondermijnd, ook wanneer de AVG op basis van Artikel 3 AVG rechtstreeks van toepassing is.

74 Overweging 6 van de AVG stelt dat een 'hoge mate' van bescherming van persoonsgegevens zowel binnen de Unie als in geval van een doorgifte buiten de Unie dient te worden gegarandeerd. Zie ook overweging 101 van de AVG. 75 C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 73 en Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, randnummer 214. 76 EDPB Richtsnoeren 5/2021 over de wisselwerking tussen de toepassing van artikel 3 en de bepalingen inzake internationale doorgiften overeenkomstig hoofdstuk V van de AVG, p. 6, randnummer 3 en 4. Zie verder ook EDPB Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, EDPB Aanbevelingen 02/2020 over de Europese essentiële garanties voor surveillancemaatregelen en C-311/18, Schrems II, ECLI:EU:C:2020:559.

31/48

107. In de Richtsnoeren van de EDPB staat verder dat “dat betekent dat de exporteur moet voldoen aan de voorwaarden van hoofdstuk V en bij de doorgifte gebruik moet maken van een van de instrumenten die de persoonsgegevens beogen te beschermen nadat deze zijn doorgegeven aan een derde land of een internationale organisatie.”

108. De AP heeft vastgesteld dat UBV van 6 augustus 2021 tot 27 november 2023 niet over een wettig doorgiftemechanisme beschikte voor de doorgifte van persoonsgegevens vanuit de EER naar de Verenigde Staten. In antwoord op de vragen van de AP licht Uber toe dat “UBV and UTI previously entered into the controller-to-controller standard contractual clauses of the European Commission ('SCCs') in their joint controllership agreement.” Uber voegt daaraan toe dat “from the updated standard contractual clauses (‘SCC’) by the European Commission ('EC'), it follows that standard contract clauses do not apply to a controller whose processing is subject to the GDPR. In light of this Uber revisited its joint controller agreement to delete the SCCs.”77 Uber heeft aldus om deze reden per 6 augustus 2021 de standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen uit haar Data Sharing Agreement verwijderd.

109. De Europese Commissie (EC) heeft in haar FAQ verklaard dat de desbetreffende nieuwe standaardcontractbepalingen (SCC’s) niet kunnen worden gebruikt in een situatie waarin de verwerking door verwerkingsverantwoordelijken rechtstreeks onder de AVG valt.78 Direct hierna merkt de EC op dat de “European Commission is in the process of developing an additional set of SCCs for this scenario, which will take into account the requirements that already apply directly to those controllers and processors under the GDPR.” De AP is van mening dat Uber uit deze verklaringen in geen geval had kunnen afleiden dat SCC’s of andere doorgifte-instrumenten niet gebruikt hoeven te worden indien de verwerking (naar Ubers zeggen) onder artikel 3 AVG valt. De verklaring van de EC ontheft Uber aldus niet van naleving van de AVG. Uber was en is momenteel verplicht om een doorgifte-instrument te gebruiken overeenkomstig Hoofdstuk V AVG.79

110. Uber had ook gezien haar laatste privacyverklaring moeten weten dat een doorgiftemechanisme nodig was. Uber heeft hierin verklaard zich aan de EU-US DPF te houden en zegt bovendien dat: “In the event that the EU-U.S. DPF or the Swiss-U.S. DPF are invalidated, Uber will transfer data that is subject to these certifications in reliance on the other data transfer mechanisms described above”.

4.5.3 Conclusie

111. De AP komt tot de conclusie dat UBV (als exporteur) van 6 augustus 2021 tot 27 november 2023 niet over een wettig doorgiftemechanisme beschikte voor de doorgifte van persoonsgegevens van chauffeurs vanuit de EER naar de Verenigde Staten. De AP heeft van Uber geen aanvraag inzake andere geschikte doorgifte-

77 Dossierstuk 17, Antwoord van Uber op Inlichtingenverzoek, d.d. 9 augustus 2021, p. 6. 78 EC, THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, vraag 24, p. 13, beschikbaar op: https://commission.europa.eu/system/files/2022-05/questions_answers_on_sccs_en.pdf 79 De AP merkt op dat, afhankelijk van de situatie in een bepaald derde land, artikel 46, lid 2 onder c, AVG kan vereisen dat de verwerkingsverantwoordelijke aanvullende maatregelen neemt om het niveau van gegevensbescherming binnen de Unie te waarborgen, zie C-311/18, Schrems II, ECLI:EU:C:2020:559, r.o. 133.

32/48

instrumenten uit hoofde van artikel 46 AVG ontvangen.80 De AP stelt derhalve vast dat Uber gedurende de eerdergenoemde periode in overtreding was van artikel 44 AVG.

4.6 Kan Uber een succesvol beroep doen op een uitzondering van artikel 49 AVG?

4.6.1 Juridisch kader

112. In artikel 7 van het Handvest staat “Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.” In artikel 8, lid 1, van het Handvest staat “Eenieder heeft recht op bescherming van zijn persoonsgegevens.” Het verwerken van persoonsgegevens, zoals omschreven in artikel 4, onderdeel 2 AVG, van een betrokkene is van invloed op het in artikel 7 van het Handvest gewaarborgde grondrecht ten aanzien van de eerbiediging van het privé-leven. Bovendien valt een dergelijke verwerking binnen het toepassingsgebied van artikel 8 van het Handvest.81 De AP merkt op dat de in artikel 7 en 8 van het Handvest verankerde rechten geen absolute rechten zijn en in relatie tot hun functie ervan in de maatschappij moeten worden beschouwd.82 In aanvulling op bovenstaande, staat in artikel 8, lid 2, van het Handvest dat persoonsgegevens “eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet.”

113. Ten aanzien van het toepassingsgebied en uitleg van de in het Handvest vastgelegde rechten en beginselen, staat in artikel 52, lid 1 van het Handvest dat “beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet moeten worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen alleen beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.” 83

114. De in artikel 49 AVG uiteengezette afwijkingen voor specifieke situaties vermelden dat “bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan één van de volgende voorwaarden is voldaan: […] b) de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;

80 Uber had de SCC’s vrijwillig in hun DSA opgenomen en doorgevoerd. Deze zijn door Uber op eigen initiatief verwijderd nadat de nieuwe SCC’s van de EC beschikbaar kwamen. 81 Zie bijvoorbeeld C-92/09 and C-93/09, Markus Schecke and Eifert, EU:C:2010:662, r.o. 49 en 52; C-594/12, Digital Rights Ireland, EU:C:2014:238, r.o. 29 en Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, randnummer 122-123. 82 Zie bijvoorbeeld C-92/09 and C-93/09, Markus Schecke and Eifert, EU:C:2010:662, r.o. 48; C-291/12, Schwartz, EU:C: 2013:670, r.o. 33; en Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, randnummer 136. 83 Beperkingen op de uitoefening van de in het Handvest verankerde rechten moeten bij wet worden gesteld. Dit houdt in dat de rechtsgrond die de inmenging toestaat zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht moet bepalen, zie ten aanzien daarvan Conclusie 1/15, EU- Canada PNR Agreement, ECLI:EU:C:2017:592, randnummer 139.

33/48

c) de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst; […] Wanneer een doorgifte niet op een bepaling van de artikelen 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie als bedoeld in de eerste alinea van dit lid van toepassing zijn, mag de doorgifte aan een derde land of internationale organisatie alleen plaatsvinden indien de doorgifte niet repetitief is, een beperkt aantal betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene, en de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden. De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de doorgifte. De verwerkingsverantwoordelijke informeert de betrokkene, behalve over de in de artikelen 13 en 14 bedoelde informatie, ook over de doorgifte en de door hem nagestreefde dwingende gerechtvaardigde belangen.” […]”

115. In overweging 111 van de AVG staat: “Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft, waaronder procedures bij regelgevingsinstanties. […]”

116. In de EPDB Richtsnoeren 2/2018 inzake Afwijkingen op grond van artikel 49 van Verordening 2016/679, goedgekeurd op 25 mei 2018, staat: “Het EDPB merkt op dat in overweging 111 de term 'incidenteel' wordt gebruikt en dat in artikel 49, lid1, tweede alinea, in de afwijking op grond van 'dwingende gerechtvaardigde belangen' de term 'niet repetitief' wordt gebruikt. Deze termen duiden erop dat dergelijke doorgiften meer dan eens - doch niet regelmatig - kunnen gebeuren en geen deel dienen uit te maken van de algemene aanpak, maar bijvoorbeeld, onder willekeurige, onbekende omstandigheden en met onregelmatige intervallen. Zo kan een gegevensdoorgifte die regelmatig plaatsvindt binnen een stabiele relatie tussen de gegevensexporteur en een bepaalde gegevensimporteur over het algemeen als systematisch en repetitief worden aangemerkt en dus niet als incidenteel en niet-repetitief gelden. [.]”

4.6.2 Beoordeling

117. De AP merkt op dat de verwerkingen (inclusief de doorgiften) die plaatsvinden zoals beschreven in situatie 1 en 2 ten aanzien van de persoonsgegevens betreffende de Uber-chauffeurs binnen het toepassingsgebied vallen van artikel 7 en 8 van het Handvest. Deze bepalingen waarborgen de grondrechten van de chauffeurs. De AP merkt echter op dat aangezien dit geen absolute rechten betreft, afwijkingen die deze rechten beperken alleen dan toelaatbaar zijn als zij in overeenstemming zijn met artikel 52 van het Handvest. Volgens artikel 52 van het Handvest mag er alleen van deze rechten worden afgeweken indien

34/48

deze bij wet zijn gesteld,84 de wezenlijke inhoud van die rechten en vrijheden eerbiedigen,85 en het evenredigheidsbeginsel in acht nemen.86

118. Artikel 49 AVG bepaalt dat bij ontstentenis van een adequaatheidsbesluit of van passende waarborgen een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land slechts kan plaatsvinden mits aan de voorwaarden van artikel 49 AVG is voldaan. De AP merkt op dat de afwijkingen in dit artikel restrictief uitgelegd moeten worden en alleen mogen worden gebruikt indien strikt noodzakelijk.87 De afwijkingen zijn immers bedoeld voor situaties waarin er geen toereikende bescherming bestaat in het land waar de gegevens aan zullen worden doorgegeven, en waarbij “de risico's voor de betrokkenen relatief klein zijn” of omdat “andere belangen” zwaarder wegen. Bijvoorbeeld publieke belangen of de belangen van de betrokkene, die zwaarder kunnen wegen dan het recht op privacy van de (andere) betrokkene.88 Dit beginsel wordt onderstreept in verschillende bepalingen van artikel 49 AVG waarin beperkingen worden gesteld aan het gebruik daarvan89 en het beginsel van afwijkingen van grondrechten uit hoofde van EU-wetgeving.90 Het restrictieve gebruik van dit artikel wordt ook ondersteund door de bewoording van aan

84 Beperkingen op de uitoefening van een in het Handvest verankerd recht moeten bij wet worden gesteld. Waar het primaire en secundaire EU-wetgeving betreft, dient dit ruim te worden uitgelegd. De wet moet voorts van kracht zijn en wettig zijn. Het wettigheidsvereiste volgt uit artikel 277 VWEU. De wet moet bovendien goed toegankelijk en voldoende nauwkeurig geformuleerd zijn, zie EHRM, Sunday Times v UK (No. 1), CE: EHRM:1979: 0426JUD000653874, r.o. 49. Bij de beoordeling van toegankelijkheid en voldoende nauwkeurigheid is het voorzienbaarheidselement van belang, zie ten aanzien hiervan EHRM, Open Door and Dublin Well Woman v Ireland, CE: EHRM: 1992:1029JUD001423488, r.o. 56-60. 85 De essentie van een recht zoals dit staat beschreven in artikel 51, lid 1, van het Handvest, wordt gedefinieerd als de absolute onvervreemdbare kern ervan, zie ten aanzien daarvan bijvoorbeeld de gevoegde zaken C-584/10 P, C-593/10 P & C-595/10 P, Kadi, EU:C:2013:518, r.o. 134. Volgens de conclusie van A-G Saugmandscaard Øe betekent het in artikel 52, lid 1, van het Handvest geformuleerde vereiste dat elke beperking op de uitoefening van de in dat instrument erkende rechten en vrijheden de wezenlijke inhoud van die rechten en vrijheden eerbiedigt, dat een maatregel die inbreuk maakt op die wezenlijke inhoud niet kan worden gerechtvaardigd. Die maatregel wordt dan geacht in strijd te zijn met het Handvest en dient als handeling van de Unie nietig of ongeldig te worden verklaard, zonder dat de voorwaarde van inachtneming van het evenredigheidsbeginsel hoeft te worden onderzocht, zie hiervoor de Conclusie van de A-G in C-401/19, Republic of Poland v European Parliament, ECLI:EU:C:2021:613, randnummer 98-99. Voorts, "[.] De „wezenlijke inhoud” van een grondrecht vormt een „onaantastbare kern”, die vrij moet blijven van inmenging. Derhalve worden bepaalde, uitzonderlijk ernstige aantastingen van grondrechten door geen enkel doel, hoe legitiem ook, gerechtvaardigd. Het doel heiligt met andere woorden niet alle middelen.” Zie ook Conclusie A-G in C311/18, Schrems II, ECLI:EU:C:2020:559, randnummer 272. Deze opvatting wordt nogmaals herhaald in de Conclusie van Advocaat-Generaal Guivanni Pitruzzella in C-817/19, Human Rights League v Council of Ministers, EU:C:2022:65. Meer in het bijzonder wordt verklaard: "Bovendien blijkt zowel uit de bewoordingen van artikel 52, lid 1, van het Handvest als uit de rechtspraak van het Hof, en met name uit het arrest Schrems I, dat de beoordeling of er sprake is van aantasting van de wezenlijke inhoud van het betrokken grondrecht, voorafgaand aan en los van de evenredigheidsbeoordeling van de betwiste maatregel moet worden gemaakt. Het betreft met andere woorden een zelfstandige toets." Ministers geleverd op 27 januari 2022 (de Conclusie is vertaald uit het Frans omdat er geen Engelse versie voorhanden is). 86 Zie artikel 52, lid 1 van het Handvest en de jurisprudentie van het HvJ-EU, zie bijv. C5/88, Wachauf, EU:C:1989:321, r.o. 18. Het evenredigheidsbeginsel is een algemeen beginsel in het Europees recht waarvoor een vierledige test wordt toegepast: 1) streeft de maatregel een legitiem doel na, 2) is de maatregel geschikt om dat doel te bereiken, 3) is het de minst beperkende voorhanden zijnde maatregel waarmee het doel even goed kan worden bereikt als met de gekozen maatregel, en 4) zijn de tegenstrijdige belangen op de juiste manier tegen elkaar afgewogen. 87 Het HvJ-EU onderstreepte dat de bescherming van het grondrecht op eerbiediging van privé-leven op EU-niveau verlangt dat afwijkingen en beperkingen van de bescherming van persoonsgegevens alleen van toepassing zijn voor zover strikt noodzakelijk, zie arrest C 73/07, Satakunnan Markkinapörssi and Satamedia, ECLI:EU:C:2008:727, r.o. 56; C 92/09 en C 93/09, Volker und Markus Schecke and Eifert, ECLI:EU:C:2010:662, r.o. 77; C-293/12 en C-594/12; Digital Rights Ireland, EU:C:2014:238, r.o. 52, C 362/14,Schrems, ECLI:EU:C:2015:650, r.o. 92, C 203/15, Tele2 Sverige AB, ECLI:EU:C:2016:970, r.o. 96. 88 Zie bijvoorbeeld C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 92 en C-293/12 en C-594/12, Digital Rights Ireland, ECLI:EU:C:2014:238, r.o. 52. 89 Artikel 49, lid 2-4 AVG. 90 C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 92 en C-293/12 en C-594/12, Digital Rights Ireland, ECLI:EU:C:2014:238, r.o. 52.

35/48

artikel 49 AVG gegeven titel waarin staat dat de afwijkingen alleen voor specifieke situaties gebruikt mogen worden.91

119. Voorts merkt de AP op dat het gebruik van artikel 49 AVG geen extra bescherming of waarborgen biedt voor doorgiften van persoonsgegevens die tot een verhoogd risico ten aanzien van de rechten en vrijheden van de desbetreffende betrokkenen kunnen leiden. Bovendien merkt de AP op dat wanneer de doorgifte op basis van een afwijking plaatsvindt, de relevante bepalingen van de AVG nog steeds van toepassing zijn.92

Ten slotte moet artikel 49 AVG worden gelezen in het licht van het Handvest.93

120. Uber heeft aangegeven dat indien de AP tot de conclusie komt dat er verwerkingen plaatsvinden die aangemerkt moeten worden als doorgiften in de zin van Hoofdstuk V AVG, Uber de voor situatie 1 beschreven verwerkingen zou kunnen baseren op artikel 49, lid 1, sub b) AVG.94 De voor situatie 2 beschreven verwerkingen zouden volgens Uber op artikel 49, lid 1, sub c) AVG kunnen worden gebaseerd.95 Hieronder beoordeelt de AP het beroep van Uber op deze twee uitzonderingsgronden in de respectieve volgorde.

De doorgiften zijn niet incidenteel 121. Op basis van overweging 111 bij de AVG mag deze afwijking alleen worden gebruikt indien de doorgifte incidenteel is. Zoals aangegeven in de EDPB-richtsnoeren, worden daarmee doorgiften uitgesloten die “regelmatig plaatsvinden binnen een stabiele relatie” en kan het niet van toepassing zijn “op veel doorgiften binnen de zakelijke relatie”.96 Iedere andere interpretatie zou niet stroken met het Unierecht dat verlangt dat een afwijking van een grondrecht niet zo wordt uitgelegd dat het in tegenspraak is met de uitzonderlijke aard daarvan.97

122. De AP merkt op dat er ter rechtvaardiging van doorgifte-activiteiten zoals beschreven voor situatie 1 geen beroep kan worden gedaan op de afwijking inzake contractuele noodzaak van artikel 49, lid 1, sub b AVG. Dit omdat de doorgiften van gegevens van meer dan [vertrouwelijk] Uber-chauffeurs tussen UBV en UTI als systematisch, repetitief en doorlopend worden beschouwd. In dat opzicht merkt de AP conform de EDPB-Richtsnoeren op dat in het licht van overweging 111, men zich alleen op artikel 49, lid 1 sub b, c en e

91 EDPB Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, goedgekeurd op 25 mei 2018, p. 4. 92 In artikel 44 AVG staat dat doorgifte van persoonsgegevens onder Hoofdstuk V alleen “onverminderd de overige bepalingen van deze verordening” kan plaatsvinden. 93 C-617/10, Akerberg Fransson, ECLI:EU:C:2013:280, r.o. 21. 94 Zie ‘Zienswijze Uber op onderzoeksrapport en voornemen tot handhaving’ van 9 juni 2023, r. 236, p. 58-59 en p. 71-73 (paragraaf 7.3.4.). 95 Zie ‘Zienswijze Uber op onderzoeksrapport en voornemen tot handhaving’ van 9 juni 2023, r. 236, p. 58-59 en p. 67-71 (paragraaf 7.3.3). 96 EDPB Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, p. 11: Gegevensdoorgiften die regelmatig plaatsvinden in een stabiele relatie worden beschouwd als systematisch en repetitief en zijn dan ook niet meer 'incidenteel' van karakter. Bijgevolg kunnen vele gegevensdoorgiften binnen een zakelijke relatie in dit geval niet op artikel 49, lid 1, onder b), worden gebaseerd. 97 C 623/17, Privacy International v Secretary of State for Foreign and Commonwealth Affairs and Others, ECLI:EU:C:2020:790, r.o. 69. Voorts, wanneer een bepaling “voorziet in een uitzondering op de algemene regel, moet zij volgens vaste rechtspraak strict worden uitgelegd. Die bepaling mag het derhalve niet mogelijk maken dat de uitzondering op het verplichte beginsel . de regel wordt, omdat laatstgenoemde bepaling in dat geval grotendeels haar inhoud zou verliezen.” , zie C-140/20, Dwyer v Commission for An Garda Síochána, ECLI:EU:C:2022:258, r.o. 40. Zie bijv. C-203/15 en C-698/15, Tele2 Sverige AB, EU:C:2016:970, r.o. 89, C-511/18, C-512/18 en C-520/18, La Quadrature du Net and Others, EU:C:2020:791, r.o. 111.

36/48

AVG kan beroepen ter rechtvaardiging van incidentele doorgiften.98 Deze opvatting wordt ondersteund door de algemene zienswijze binnen het Unierecht, waar het vaste praktijk is om afwijkingen restrictief uit te leggen, en dat eventuele beperkingen of afwijkingen van artikel 7 en 8 van het Handvest alleen dan toelaatbaar zijn voor zover dit strikt noodzakelijk wordt geacht.99 Het HvJ-EU heeft dit standpunt menigmaal ingenomen, waarbij werd gesteld dat een situatie waarin de uitzondering de regel wordt, moet worden voorkomen.100

123. Uber heeft aangegeven dat de uitleg van de AP onjuist is en onverenigbaar met artikel 49 AVG. Uber onderbouwt haar stellingen door zich te beroepen op het niet-bindende karakter van de overwegingen van de AVG. Uber stelt dat het criterium 'incidenteel' niet in Artikel 49 AVG is neergelegd. De bewoording van artikel 49, lid 1 AVG, waarin is bepaald dat de afwijkingen in specifieke situaties gebruikt kunnen worden voor een 'doorgifte' of 'reeks van doorgiften', impliceert volgens Uber niet dat de bepaling zo kan worden uitgelegd dat 'incidenteel' onderdeel uitmaakt van de criteria waaraan moet worden voldaan.

124. De AP is het met Uber eens dat de overweging geen bindende rechtskracht heeft en dat men zich er niet op kan beroepen als grondslag om van daadwerkelijke wetsbepalingen af te wijken of in het geval waarin bepalingen op een dusdanige manier uit worden gelegd die duidelijk met de bewoording van de bepaling in strijd zijn. De AP constateert echter dat de overwegingen bij de AVG “de inhoud van de bepalingen van die wet kunnen verklaren” en dat het “belangrijke elementen omvat voor de uitleg, waarmee de bedoelingen van de diegene die de wet heeft opgesteld, verduidelijkt kunnen worden.”101 En nog belangrijker, het HvJ-EU ondersteunt deze interpretatie in zijn jurisprudentie, waar het in het licht van de overwegingen uitleg gaf aan grenzen aan het toepassingsgebied van de afwijking. Meer in het bijzonder acht het HvJ-EU het voor de uitleg van een bepaling in het Unierecht nodig dat niet alleen naar de bewoording wordt gekeken maar ook naar “de context waarin dit plaatsvindt en de doelstelling die worden nagestreefd door de regels waarvan het deel uitmaakt” 102 en dat “het toepassingsgebied van de afwijking … vastgesteld moet worden in het licht van de uitleg die aldus door EU-wetgever wordt gegeven.”103 Het HvJ-EU oordeelde bovendien dat een uitleg van de afwijking zonder oog te hebben voor de in de overwegingen tot uiting komende bedoeling van de EU-wetgever, afbreuk zou doen aan het doel van de wetgeving.104 De AP stelt derhalve vast dat overweging 111 bij de AVG de benodigde verduidelijking biedt bij de uitleg van artikel 49, lid 1, sub b) AVG overeenkomstig de doelstellingen die de EU-wetgever nastreefde en stelt bovendien vast dat de overweging niet strijdig is met de bewoording van het eerdergenoemde artikel. Een andere uitleg van dit artikel zou voorbijgaan aan de intentie van de wetgever en strijdig zijn met de door het HvJ-EU gehanteerde aanpak.105 De AP komt derhalve tot de

98 EDPB Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679. 99C 623/17, Privacy International v Secretary of State for Foreign and Commonwealth Affairs and Others, ECLI:EU:C:2020:790, r.o. 81; C-203/15 en C-698/15, Tele2 Sverige AB, EU:C:2016:970; C-511/18, C-512/18 en C-520/18, La Quadrature du Net and Others, EU:C:2020:791, r.o. 130; C-311/18, Data Protection Commissioner v Facebook Ireland Ltd, ECLI:EU:C:2020:559, r.o. 176; Gevoegde zaken C-293/12 en C-594/12, Digital Rights Ireland Ltd v Minister for Communications, ECLI:EU:C:2014:238, r.o. 52; C-362/14, Schrems, ECLI:EU:C:2015:650, r.o. 96. 100 Zie bijv. C-140/20, Dwyer v Commission for An Garda Síochána, ECLI:EU:C:2022:258, r.o. 40; C-817/19, Ligue des droits humains, ECLI:EU:C:2022:491, r.o. 114; C-401/19, Republic of Poland v European Parliament and the Council of the European Union, EU:C:2022:297, r.o. 64 en 74. 101 C-418/18, P Puppinck and others v Commission of the European Communities, ECLI:EU:C:2019:1113, r.o. 75. 102 C-528/16, Confédération paysanne and Others, EU:C:2018:583, r.o. 42. 103 Ibid, r.o. 44-46. 104 Ibid, r.o. 51-53. 105 Ibid, zie ook bijv. C424/10 en C425/10, Ziolkowski v Land Berlin, ECLI:EU:C:2011:866, r.o. 42-43.

37/48

conclusie dat men zich alleen op artikel 49, lid 1, sub b AVG kan beroepen ter rechtvaardiging van 'incidentele' doorgiften.

125. Ten aanzien van de voor situatie 1 beschreven verwerkingen, kan UBV zich in de onderhavige zaak niet beroepen op de afwijking van artikel 49, lid 1, sub b AVG om de doorgifte naar de Verenigde Staten te rechtvaardigen. Die doorgifte kwalificeert de AP immers als systematisch, repetitief en doorlopend in een stabiele, bestendige zakelijke relatie tussen UBV en UTI.

126. Voor wat betreft de verwerkingen in situatie 2 geeft Uber aan dat deze op artikel 49, lid 1, sub c AVG kunnen worden gebaseerd. Uit hoofde van deze afwijking mag doorgifte of een reeks van doorgiften plaatsvinden wanneer “de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst.” De voorwaarde dat de doorgifte noodzakelijk en incidenteel moet zijn, is ook op deze bepaling van toepassing. In de onderhavige zaak kan UBV de afwijking niet gebruiken als grondslag voor doorgifte, omdat deze doorgifte ook als systematisch en repetitief van aard wordt beschouwd binnen een stabiele, bestendige zakelijke relatie tussen UBV en UTI. Bovendien heeft Uber niet op grond van de overeenkomst, maar op grond van AVG de wettelijke plicht om rechten van betrokkenen te faciliteren.

De doorgiften zijn niet noodzakelijk 127. Naast het feit dat er geen sprake is van een incidentele doorgifte, kan Uber zich ook niet succesvol beroepen op artikel 49 lid 1 sub b en c AVG, omdat de doorgifte niet noodzakelijk is voor het tenuitvoerleggen van een overeenkomst tussen Uber en de betrokkene respectievelijk tussen Uber en een derde (een overeenkomst in het belang van de betrokkene).

128. De AP herinnert er in dit verband aan dat het noodzakelijkheidsvereiste als autonoom Uniebegrip vereist dat de verwerking objectief onontbeerlijk moet zijn om de overeenkomst tot stand te kunnen brengen.106 Het is daarbij irrelevant of de verwerking nuttig is voor de overeenkomst of daarin wordt vermeld,107 de verwerkingsverantwoordelijke moet daarentegen aantonen dat het hoofddoel van de overeenkomst zonder die verwerking niet zou kunnen worden bereikt.108 Het noodzakelijkheidsverband moet daarbij, zoals Uber zelf ook al terecht aangeeft, nauw en substantieel zijn ten opzichte van het doel van de overeenkomst.

129. Een voorbeeld van noodzakelijkheid is wanneer een gegevensdoorgifte plaatsvindt van een reisbureau naar een hotel in een derde land om een overeenkomst tussen de klant en het reisbureau tot stand te brengen. In dit geval is het verband tussen de doorgifte en het doel nauw en substantieel, en is er geen realistisch alternatief voorhanden (hotels zijn nu eenmaal vaak in derde landen gevestigd). Een voorbeeld van een gebrek aan noodzakelijkheid is wanneer een bedrijvengroep voor zakelijke doeleinden zijn

106 Arrest van het HvJEU van 4 juli 2023 Meta (ECLI:EU:C:2023:537), ro. 98. 107 Arrest van het HvJEU van 4 juli 2023 Meta (ECLI:EU:C:2023:537), ro. 99 en conclusie A-G, ro. 54. 108 Arrest van het HvJEU van 4 juli 2023 Meta (ECLI:EU:C:2023:537), ro. 98.

38/48

betalingsfuncties en het personeelsbeleid voor al zijn personeel in een derde land heeft gecentraliseerd, aangezien er geen objectief verband bestaat tussen de uitvoering van overeenkomst en de doorgifte.109

130. Uber heeft de noodzakelijkheid in het onderhavige geval toegelicht door ten eerste te wijzen op dat de doorgifte plaatsvindt in het kader van de afspraken (Data Sharing Agreement) tussen UBV in de EU en UTI in de VS. Naar het oordeel van het AP maakt dit de doorgifte niet noodzakelijk, precies omdat het Hof heeft geoordeeld dat het enkele bestaan van de overeenkomst zelf (het ‘vermelden’) geen noodzakelijkheid kan vormen. Voor het aannemen van noodzakelijkheid mogen, aldus het Hof, er ‘geen bruikbare, minder ingrijpende alternatieven bestaan’ en moet de verwerkingsverantwoordelijke dit kunnen aantonen.110

131. Ten tweede vindt Uber dat de gecentraliseerde gegevensverwerking in de VS cruciaal is voor het kunnen aanbieden van de Uber diensten en voor het waarborgen van het recht van chauffeurs in de EU op bescherming van hun persoonsgegevens: ‘alleen door persoonsgegevens gecentraliseerd te verwerken kan Uber haar uitgebreide technische en organisatorische maatregelen wereldwijd toepassen en chauffeurs de hoogste mate van bescherming bieden’. Uber heeft het aan de AP onvoldoende duidelijk kunnen maken waarom de doorgifte van persoonsgegevens naar de VS cruciaal is voor het aanbieden van de dienst en een hoog beschermingsniveau. Zoals in randnummer 128 is vermeld, is er ten eerste een gebrek aan noodzakelijkheid als een bedrijvengroep voor zakelijke doeleinden persoonsgegevens centraliseert in een derde land. In dit geval hadden de persoonsgegevens ook op een server in de EU verwerkt kunnen worden als een derde land niet een adequaat beschermingsniveau biedt. Ten tweede lijkt het, in vrijwel ieder denkbaar geval, dat een doorgifte naar een land zonder adequaat beschermingsniveau juist afbreuk doet aan het beschermingsniveau die de AVG biedt.

132. Wellicht ten overvloede, hoewel Uber in haar schriftelijke zienswijze heeft aangegeven dat de doorgifte cruciaal is voor zowel het aanbieden van de diensten als het verschaffen van een hogere mate van gegevensbescherming, doet de toelichting van Uber tijdens de zienswijzezitting vermoeden dat er andere motieven hebben gespeeld. Uber heeft verklaard dat de keuze voor een in de VS gecentraliseerde verwerking is ingegeven, omdat de dienst op die manier sneller en efficiënter kan worden geleverd.111

Daarmee lijkt de gecentraliseerde verwerking de in de VS juist te zijn gemotiveerd om redenen die veel meer lijken op de efficiëntie ervan.112

133. Samenvattend is de AP van oordeel dat Uber niet heeft aangetoond waarom de doorgifte objectief noodzakelijk is voor de tenuitvoerlegging van de overeenkomst en dat er geen bruikbare, minder indringende alternatieven voorhanden zijn. Een beroep op artikel 49, lid 1, sub b en c AVG slaagt ook om deze reden dus niet.

109 EDPB Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, p. 10. 110 Arrest van het HvJEU van 4 juli 2023 Meta (ECLI:EU:C:2023:537), ro. 99. 111 Zie de notulen van de op 5 juli 2023 gehouden zienswijze zitting, p. 6. 112 Vgl. Arrest van het HvJEU van 4 juli 2023 Meta (ECLI:EU:C:2023:537), ro. 99: het Hof stelt juist expliciet dat het ‘nuttig’ zijn geen noodzakelijkheid vormt.

39/48

4.6.3 Conclusie

134. De AP komt tot de conclusie dat Uber voor de periode van 6 augustus 2021 tot 27 november 2023 geen succesvol beroep kan doen op de afwijkingen (uitzonderingen) voor specifieke situaties in relatie tot internationale doorgiften zoals bedoeld in artikel 49, lid 1, sub b en c AVG.

4.7 Eindconclusie

135. De AP is van oordeel dat er sprake is van verwerkingen waarbij persoonsgegevens van Uber-chauffeurs uit de EER door Uber worden verwerkt. Daarnaast is er sprake van een doorgifte van persoonsgegevens zoals bedoeld in de AVG. Bij ontstentenis van een adequaatheidsbesluit, in de zin van artikel 45 AVG, mocht tussen 16 juli 2020 en 10 juli 2023 de doorgifte van persoonsgegevens naar de Verenigde Staten alleen plaatsvinden mits er passende waarborgen werden geboden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikten. De AP heeft vastgesteld dat UBV op zijn minst tussen 6 augustus 2021 en 27 november 2023 niet de in artikel 46, lid 2 AVG beschreven benodigde passende waarborgen heeft geboden. Voorts kan UBV (gezien de niet-noodzakelijke en structurele aard van de verwerkingen) zich niet succesvol beroepen op de in artikel 49, lid 1, sub b en c AVG beschreven uitzonderingen. De AP stelt derhalve vast dat Uber gedurende de eerdergenoemde periode in overtreding was van artikel 44 AVG.

5. De boete 5.1 Boetebevoegdheid en zienswijze Uber

136. Uber heeft verschillende gronden naar voren gebracht die betrekking hebben op het gebrek aan rechtvaardiging voor het opleggen door de AP van een bestuurlijk boete of corrigerende maatregel. Uber stelt ten eerste dat het onderzoeksrapport gebrekkig en onzorgvuldig is opgesteld. Ten tweede verzet volgens Uber het lex-certa beginsel en het feit dat er zicht is op concrete legalisatie (door het EU-US DPF) zich tegen handhaving door de AP. Ten derde kan volgens Uber, onder verwijzing naar zaak C-807/21 van het HvJ-EU, alleen een bestuurlijke boete worden opgelegd als er sprake is van opzet of nalatigheid en is een corrigerende maatregel niet opportuun. Ten laatste stelt Uber dat een maatregel onevenredige gevolgen kan hebben en dat Uber daarom in staat moet worden gesteld om, bij het hebben van meer uitsluitsel over het eventuele sanctiebesluit, daarover een aparte zienswijze in te dienen.

137. De AP volgt het betoog van Uber niet. De AP is van oordeel dat op basis van de feiten en de daaruit gebaseerde beoordelingen buiten redelijke twijfel vast staat dat er doorgifte van persoonsgegevens plaatsvindt en dat de overtreding door Uber is begaan. Waar nodig heeft de AP de feiten en beoordelingen naar aanleiding van de zienswijze van Uber aangevuld. Met betrekking tot het beroep van Uber op het lex certa-beginsel, dat onder andere besloten ligt in artikel 49 van het Handvest, overweegt de AP het volgende. Zoals de Afdeling bestuursrechtspraak van de Raad van State meermaals heeft overwogen,113

113 Zie onder meer de uitspraken van 9 juli 2014, ECLI:NL:RVS:2014:2493, 16 januari 2019, ECLI:NL:RVS:2019:109.

40/48

verlangt het lex certa-beginsel van de wetgever dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedragingen omschrijft. Daarbij moet niet uit het oog worden verloren dat de wetgever soms met een zekere vaagheid, bestaande uit het gebruik van algemene termen, verboden gedragingen omschrijft om te voorkomen dat gedragingen die strafwaardig zijn buiten het bereik van die omschrijving vallen. Die vaagheid kan onvermijdelijk zijn, omdat niet altijd te voorzien is op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, de omschrijvingen van verboden gedragingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van wetgeving schade lijdt. Oftewel, het lex certa-beginsel verlangt van de wetgever dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedragingen omschrijft.114

138. De AP komt tot de conclusie dat daarvan sprake is in deze zaak. Volgens de AP zijn de bepalingen waaraan zij heeft getoetst voldoende duidelijk. Op grond van hoofdstuk V AVG, de overwegingen bij de AVG, de jurisprudentie omtrent doorgifte van het HvJ-EU en ook eerdere besluiten van andere Europese privacytoezichthouders was het voor Uber voorzienbaar dat voor het doorgeven van persoonsgegevens naar de Verenigde Staten (als derde land) een doorgifte-instrument noodzakelijk is. Het feit dat Uber zich op 27 november 2023 heeft laten certificeren onder het nieuwe adequaatheidsbesluit, doet niet af aan de bevoegdheid van de AP om handhavend op te treden voor de periode van twee jaar en drie maanden waarin Uber geen doorgifte-instrument had. Op basis van de feiten en de daaruit gebaseerde beoordelingen staat dan ook buiten redelijke twijfel vast dat de overtreding door Uber is begaan.

139. De AP heeft op grond van artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83 van de AVG en gelezen in samenhang met artikel 14, derde lid, van de Uitvoeringswet AVG, de bevoegdheid om een bestuurlijke boete op te leggen. Het HvJ-EU heeft in dit kader allereerst gepreciseerd dat voor de oplegging van een dergelijke boete een voorwaarde is dat de inbreuk door de overtreder verwijtbaar is begaan. Hieronder valt opzettelijk of nalatig handelen. Een verwerkingsverantwoordelijke heeft een inbreuk opzettelijk of uit nalatigheid begaan, als hij niet onkundig kon zijn van het feit dat zijn gedraging een inbreuk opleverde, ongeacht of hij er zich van bewust was dat hij de bepalingen van de AVG schond, zo volgt uit de jurisprudentie van het HvJ-EU.115

140. De AP heeft vastgesteld dat Uber een overtreding heeft begaan van artikel 44 AVG. Uber had op grond van de AVG en de jurisprudentie van het HvJ-EU kunnen weten dat voor het doorgeven van persoonsgegevens naar de Verenigde Staten een doorgifte-instrument noodzakelijk is. Vanwege deze overtreding en de ernst ervan ziet de AP aanleiding om gebruik te maken van haar bevoegdheid om een bestuurlijke boete op te leggen.

141. Ten aanzien van het standpunt van Uber dat zij ten onrechte niet in de gelegenheid is gesteld om een zienswijze naar voren te brengen op de hoogte van de boete, de ernst en de omvang van de geconstateerde overtreding en de uiteindelijke onderbouwing overweegt de AP tot slot het volgende. Artikel 4:8 noch artikel 5:50 van de Awb (gelezen in samenhang met artikel 5:48 en 5:53 van de Awb) verplicht de AP om

114 Uitspraak van 26 oktober 2022, ECLI:NL:RVS:2022:3077. Zie ook EHRM, 11 november 1996, nr.17862/91, ECLI:CE:ECHR:1996:1115JUD001786291. 115 HvJ-EU, zaak C-807/21, 5 december 2023, ECLI:EU:C:2023:950, punt 75 en 76.

41/48

zich bij het voornemen tot het opleggen van een bestuurlijke boete al uit te laten over deze aspecten.116 Een voornemen tot het opleggen van een boete en het daarop gebaseerde onderzoeksrapport zijn voldoende op basis waarvan een zienswijze gevraagd kan worden. De AP herinnert Uber hier nog aan de bezwaarfase, waar Uber nog bezwaar kan maken (en gehoord dient te worden) tegen de hoogte van de boete en diens onderbouwing. Overigens heeft de AP de wél ingediende zienswijze in haar beoordeling betrokken. Hetgeen in de zienswijze is vermeld, kan bijdragen aan de beslissing van de AP om over te gaan tot het opleggen van een bestuurlijke boete, waarna de AP aan de hand van alle op dat moment bij haar bekende relevante feiten en omstandigheden de boetehoogte bepaalt. Om deze reden heeft de AP zich in haar voornemen tot handhaven niet uitgelaten over de door Uber genoemde aspecten.

5.2 Systematiek bepalen boetehoogte

142. De EDPB heeft in de plenaire vergadering van 24 mei 2023 ingestemd met de definitieve tekst van de Guidelines 04/2022 on the calculation of administrative fines under the GDPR (hierna: de Richtsnoeren). De AP zal deze Richtsnoeren toepassen op deze zaak.117 De (nationale) beleidsregels van de AP over het bepalen van de hoogte van bestuurlijke boetes zijn, voor zover thans relevant, ingetrokken.118

143. De Richtsnoeren beschrijven een methodiek waarbij achtereenvolgens wordt bezien:

1. De verwerkingsactiviteiten in het betrokken geval in kaart brengen en de toepassing van artikel 83, lid 3, AVG evalueren; 2. Het uitgangsbedrag voor de verdere berekening bepalen; 3. of zich verzachtende of verzwarende omstandigheden voordoen die nopen tot aanpassing van het bedrag uit stap 2; 4. welke maximumbedragen gelden voor de overtredingen en of eventuele verhogingen uit de vorige stap dit bedrag niet te boven gaan; 5. of het uiteindelijke bedrag van de berekende boete voldoet aan de vereisten van doeltreffendheid, afschrikking en evenredigheid, en zo nodig daaraan wordt aangepast.

144. Deze stappen worden hierna achtereenvolgens doorlopen.

5.3 Berekening boetebedrag

5.3.1 Stap 1: Vaststellen handelingen en inbreuken

145. Om het uitgangsbedrag van de boete te bepalen, moet zoals in de Richtsnoeren is beschreven allereerst worden bezien of sprake is van één of meerdere sanctioneerbare gedragingen.

116 CBb 7 mei 2019, ECLI:NL:CBB:2019:177 117 Zie ook https://www.autoriteitpersoonsgegevens.nl/actueel/nieuw-boetebeleid-voor-overtredingen-avg 118 Zie https://www.autoriteitpersoonsgegevens.nl/documenten/boetebeleidsregels-autoriteit-persoonsgegevens-2023

42/48

146. De AP heeft geconstateerd dat er sprake is van een gebrek aan één van de doorgifte-instrumenten zoals neergelegd in hoofdstuk V AVG. Daarmee heeft Uber een inbreuk gepleegd op de verplichting uit artikel 44 AVG om bij internationale doorgifte gebruik te maken van een doorgifte-instrument. De berekening van het uitgangsbedrag heeft in dit geval betrekking op twee verwerkingsactiviteiten die in de context van één sanctioneerbare gedraging vallen.

5.3.2 Stap 2: Bepalen uitgangsbedrag

147. Zoals in de Richtsnoeren is beschreven, dient vervolgens het uitgangsbedrag van de boetehoogte te worden bepaald. Dit uitgangsbedrag vormt het uitgangspunt voor de verdere berekening in latere stappen, waarbij alle relevante feiten en omstandigheden in aanmerking worden genomen. In de Richtsnoeren is vermeld dat het uitgangsbedrag wordt bepaald aan de hand van drie elementen: i) de indeling van de inbreuken volgens artikel 83 lid 4 tot en met 6 AVG; ii) de zwaarte van de inbreuk en iii) de omzet van de onderneming. Hierna wordt ingegaan op alle drie de elementen.

Ad i) Indeling van de inbreuken volgens artikel 83, vierde tot en met zesde lid, van de AVG

148. Zoals vermeld in de Richtsnoeren, zijn vrijwel alle verplichtingen van de verwerkingsverantwoordelijke gecategoriseerd in de bepalingen van art. 83 lid 4 tot en met lid 6 AVG. De AVG maakt onderscheid tussen twee soorten inbreuken. Enerzijds de inbreuken die sanctioneerbaar zijn op grond van art. 83 lid 4 AVG, en waarvoor een maximumboete geldt van € 10 miljoen (of in geval van een onderneming, 2% van de jaaromzet, indien dat hoger is), anderzijds de inbreuken die sanctioneerbaar zijn op grond van art. 83 lid 5 en 6 AVG, en waarvoor een maximumboete geldt van € 20 miljoen (of in geval van een onderneming, 4% van de jaaromzet, indien dat hoger is). Met dit onderscheid heeft de wetgever voorzien in een eerste indicatie van de ernst van de inbreuk: hoe ernstiger de inbreuk, hoe hoger de boete.

149. Voor de thans voorliggende overtreding van art. 44 AVG kan een bestuurlijke boete worden opgelegd van maximaal € 20.000.000,00 (of in geval van een onderneming, 4% van de wereldwijde jaaromzet, indien dat hoger is). Uit deze categorisering volgt dat de inbreuk van deze bepalingen door de wetgever (in abstracto) als ernstig worden gezien.

Ad ii) Zwaarte van de inbreuk

150. Bij het bepalen van de ernst van de inbreuk moet rekening worden gehouden met de 1) aard, 2) ernst en 3) duur van de overtreding, alsmede met de opzettelijke of nalatige aard van de inbreuk en de categorieën betrokken persoonsgegevens.

151. Bij de aard van de inbreuk dient te worden gekeken naar het belang dat de overtreden bepaling beoogt te beschermen. De AP constateert dat het beoogde belang van artikel 44 AVG, namelijk de continuïteit van het hoge niveau van de bescherming van de AVG bij doorgifte van persoonsgegevens naar derde landen, door Uber niet is gewaarborgd. Door het ontbreken van een adequaatheidsbesluit of passende waarborgen in de periode van de overtreding, heeft Uber persoonsgegevens onrechtmatig doorgegeven naar een derde

43/48

land, terwijl dat derde land een ontoereikend beschermingsniveau heeft. Specifiek gaat het om doorgifte naar de Verenigde Staten, waar inlichtingendiensten op grond van de lokale wetgeving toegang hebben tot persoonsgegevens van EU-burgers. Deze inbreuk vormt een direct gevaar voor het recht op een privéleven en het recht op de bescherming van persoonsgegevens zoals neergelegd in respectievelijk artikel 7 en artikel 8 van het Handvest.

152. Voor de beoordeling van de ernst van de overtreding overweegt de AP het volgende. Ten aanzien van de aard van de verwerking is het allereerst relevant om na te gaan wat de verhouding is tussen de verwerkingsverantwoordelijke en de betrokkenen. De AP constateert dat in dit geval sprake is van een hiërarchische werkrelatie tussen Uber en de chauffeurs.119 De AP merkt op, zoals beschreven in paragraaf 4.3.2, dat de feitelijke werkwijze van Uber ten opzichte van haar chauffeurs ook uitgaat van een grote afhankelijkheid. Uber bevestigt dit zelf ook in haar schriftelijke zienswijze door daarin te stellen dat de chauffeurs ‘voor hun dagelijks levensonderhoud afhankelijk [zijn] van de inkomsten die zij verkrijgen via de chauffeurs-app van Uber Rides’.120 Ten tweede brengt de aard van de verwerking hogere risico’s met zich mee, omdat Uber persoonlijke aspecten van chauffeurs evalueert en hierover beslissingen neemt.

153. Met betrekking tot de omvang van de verwerking constateert de AP dat er sprake is van een grensoverschrijdende verwerking in de zin van artikel 4, onderdeel 23, AVG. Uber verwerkt persoonsgegevens van chauffeurs uit verschillende EU-landen. Dit maakt de verwerkingen van Uber omvangrijk.

154. Ten aanzien van het doel van de verwerking merkt de AP op dat hoe centraler de plaats van de verwerking binnen de kernactiviteiten van de verwerkingsverantwoordelijke is, hoe ernstiger onregelmatigheden bij die verwerking zullen zijn.121 Bij deze beoordeling moeten verwerkingen in het kader van het genereren van ritten worden onderscheiden van het afhandelen van inzageverzoeken. Wat het verwerken van persoonsgegevens in het kader van het genereren van ritten betreft, merkt de AP op dat dit een essentieel onderdeel is van de kernactiviteit van Uber, namelijk het mediëren als platform tussen chauffeurs die ritten aanbieden en klanten die vragen om ritten. Zonder het genereren van ritten is het niet mogelijk om ritten aan de chauffeurs te suggereren, en voor hen om die te accepteren en aan te bieden aan klanten. Wat betreft het verwerken van persoonsgegevens met als doel het afhandelen van inzageverzoeken constateert de AP dat dit niet een onderdeel vormt van de kernactiviteit van Uber, omdat Uber hiermee slechts tracht te voldoen aan een wettelijke verplichting die volgt uit de AVG. Het draagt daarbij niet op zelfstandige wijze bij aan het verdienmodel van Uber als commerciële onderneming.

155. Aangaande het aantal getroffen betrokkenen heeft de AP geconstateerd dat vanaf 6 augustus 2021 tot en met half februari 2023 er in Frankrijk gemiddeld [vertrouwelijk] chauffeurs voor Uber actief waren en gemiddeld [vertrouwelijk] chauffeurs in de gehele EU. Op 17 februari 2023 waren er [vertrouwelijk] actieve chauffeurs in de EU volgens Uber. Wat betreft doorgifte in het kader van inzageverzoeken heeft Uber tussen augustus 2021 en februari 2023 [vertrouwelijk] inzageverzoeken uitgevoerd met de

119 Zie ook Franse Hof van Cassatie, 4 maart 2020 (Sentencia n°374); Rb. Amsterdam, 13 september 2021 (ECLI:NL:RBAMS:2021:5029), r.o. 27 t/m 32. 120 ‘Zienswijze Uber op onderzoeksrapport en voornemen tot handhaving’ van 9 juni 2023, p. 83. 121 Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG, randnummer 54.

44/48

automatische download-tool van chauffeurs uit de EU. Ook heeft Uber [vertrouwelijk] verwijderverzoeken uitgevoerd voor (oud-) chauffeurs uit de EU. Ten slotte geeft Uber aan dat naast de download-tool Uber tussen 6 augustus 2021 en 1 februari 2023 [vertrouwelijk] verzoeken van Franse (oud-)chauffeurs voor een uitgebreider inzageverzoek heeft verwerkt. Daarnaast stelt Uber in haar schriftelijke zienswijze dat in het kader van de afhandeling van inzageverzoeken per telefoon en brief per jaar minder dan tien verzoeken worden afgehandeld. Sommige verzoeken zijn te complex en moeten door een medewerker van Uber B.V. handmatig worden voorbereid, het gaat in dat kader om ca. 100 verzoeken in de eerste vier maanden van 2023.

156. De AP heeft verder in paragraaf 2.5 geconstateerd dat de inbreuk heeft plaatsgevonden vanaf 6 augustus 2021 tot 27 november 2023. Dat is twee jaar en meer dan drie maanden. Dit betreft een aanzienlijke periode. Naar het oordeel van de AP heeft Uber de gedraging verwijtbaar begaan. De overtreding hield op te bestaan per 27 november 2023, omdat Uber zich op die datum heeft gecertificeerd onder het EU-US DPF.

157. Tot slot moet worden nagegaan of Uber persoonsgegevens heeft verwerkt die speciale bescherming verdienen en derhalve leiden tot een hogere ernst van de inbreuk. Ook moet rekening worden gehouden met de hoeveelheid gegevens die verzameld zijn over elke betrokkene. Zoals de AP in paragraaf 2.3 heeft vastgesteld, verwerkt Uber een grote hoeveelheid aan gegevens over Uber chauffeurs. Naast accountgegevens, locatiegegevens, foto’s, betalingsbewijzen en beoordelingen verwerkt Uber (afhankelijk van de wettelijke regels in een land) ook andere gegevens, zoals identiteitsbewijzen, strafrechtelijke- en gezondheidsgegevens. Veel van deze gegevens zijn naar hun aard gevoelig. Daarnaast zijn strafrechtelijke- en gezondheidsgegevens bijzondere persoonsgegevens die extra bescherming genieten onder artikel 9 en artikel 10 AVG. Met name de doorgifte van strafrechtelijke gegevens aan de Verenigde Staten, waarvan indertijd was vastgesteld dat dit land geen adequaat beschermingsniveau kon bieden, en waarvan bekend was dat overheidsinstanties zich toegang kunnen verschaffen tot aldaar opgeslagen persoonsgegevens, rekent de AP Uber aan. Om bovenstaande redenen acht de AP de invloed van dit aspect verhogend op de algehele ernst van de inbreuk.

Ad iii) Omzet van de onderneming

158. De Richtsnoeren schrijven voor dat uit oogpunt van billijkheid het uitgangsbedrag van de boete moet worden gerelateerd aan de grootte van de onderneming. De grootte van de onderneming wordt bepaald aan de hand van de omzet. Zo wordt voor een kleine onderneming, met een omzet van maximaal € 2 miljoen, het uitgangsbedrag in de regel beperkt tot 0,2 tot 0,4% van het eigenlijke uitgangsbedrag, en neemt het uitgangsbedrag toe naar mate de omzet van de onderneming toeneemt. Indien een onderneming een omzet heeft van meer dan € 500 miljoen, geldt dat de boetehoogte wordt bepaald op een percentage van de jaaromzet van de onderneming.122 Hierdoor is de grootte en omzet van de onderneming reeds verdisconteerd in de hoogte van de boete, zodat het uitgangsbedrag geen aanpassing op die grond behoeft.

122 Vanaf een jaaromzet van € 500 miljoen geldt dat 4% van de jaaromzet hoger is dan € 20 miljoen, zodat dit percentage als boetemaximum in aanmerking moet worden genomen (artikel 83, vijfde lid, aanhef, van de AVG).

45/48

159. Zoals vermeld in overweging 150 van de AVG, moet bij het opleggen van een boete aan een onderneming de “onderneming” worden gezien als een onderneming overeenkomstig de artikelen 101 en 102 van het Verdrag betreffende de werking van de Europese Unie. Uit vaste jurisprudentie van het HvJ-EU volgt dat een onderneming elke eenheid is die een economische activiteit uitoefent, ongeacht haar rechtsvorm en de wijze waarop zij wordt gefinancierd. Het gaat dus om de economische eenheid van de onderneming en niet om de juridische entiteiten daarbinnen. Verschillende vennootschappen of entiteiten binnen dezelfde economische eenheid kunnen dus samen een onderneming zijn in de zin van voormelde bepalingen.

160. Uber B.V. is indirect een volle dochteronderneming van Uber Technologies Inc. Zij moeten daarom voor de toepassing van artikel 83 van de AVG tot dezelfde onderneming worden gerekend.

161. Zoals vermeld in de Richtsnoeren, kan de omzet worden bepaald aan de hand van de jaarstukken van de onderneming over het voorgaande boekjaar. Op grond van artikel 83, vierde tot en met zesde lid, van de AVG wordt de wereldwijde omzet in het voorgaande boekjaar in aanmerking genomen.

162. Uber Technologies Inc. heeft de jaarstukken over 2023 op haar website gepubliceerd.123 Op pagina 75 is een geconsolideerd overzicht van de onderneming opgenomen. Daaruit valt op te maken dat de wereldwijde omzet van de onderneming over 2023 $ 37,281 miljard bedraagt. Dat komt overeen met € 34,235 miljard.124

Bepalen uitgangsbedrag

163. Op grond van artikel 83, vijfde lid, van de AVG bedraagt het boetemaximum 4% van de jaaromzet. De jaaromzet bedraagt € 34,235 miljard, zodat het boetemaximum voor de overtreding € 1,369 miljard bedraagt.

164. De waardering van de bovenstaande omstandigheden en factoren bepaalt de algehele ernst van de inbreuk begaan door Uber. Het gaat daarbij om een grondige beoordeling van de concrete omstandigheden van het geval waarin alle omstandigheden in samenhang moeten worden bezien.

165. Gelet op hetgeen onder i) en ii) is overwogen, stelt de AP zich op het standpunt dat het niveau van zwaarte van de inbreuk moet worden gekwalificeerd als “hoog”. Volgens de Richtsnoeren geldt voor inbreuken met een hoog niveau van ernst, dat het uitgangsbedrag dient te worden bepaald op een punt tussen 20% en 100% van het boetemaximum van in dit geval € 1,369 miljard. Dit komt overeen met een bedrag tussen de € 273,881 miljoen en € 1,369 miljard. Daarbij geldt als algemene regel dat hoe ernstiger de inbreuk binnen zijn eigen categorie is, hoe hoger het uitgangsbedrag zal zijn.

123 Te raadplegen via https://investor.uber.com/financials/default.aspx 124 De totale omzet over 2023 was $ 37.281.000.000, wat met een wisselkoers d.d. 19 juli 2024 van 1 dollar op 0,9183 euro converteert naar een omzet van € 34.235.142.300.

46/48

166. De AP is van oordeel dat, gelet op de omschreven omstandigheden, de inbreuk ernstig is. Evenwel vindt de AP niet alle omstandigheden dermate ernstig of negatief dat het uitgangsbedrag aan de bovengrens van het boetemaximum vastgesteld moeten worden. De AP heeft hierbij onder andere de omvang van het aantal getroffen betrokkenen en de omstandigheid dat de overtreding is beëindigd een rol laten spelen.

167. Op basis van de categorisatie van de inbreuk, de zwaarte van de inbreuk en de omzet van de onderneming stelt de AP het uitgangsbedrag voor de overtreding van artikel 44 AVG in dit geval vast op € 290 miljoen.

5.3.3 Stap 3: Beoordelen overige relevante omstandigheden

168. Zoals vermeld in de Richtsnoeren, dient vervolgens te worden bezien of in de omstandigheden van het geval aanleiding wordt gevonden om de boete hoger of lager vast te stellen dan het hiervoor bepaalde uitgangsbedrag. De in aanmerking te nemen omstandigheden zijn vermeld in artikel 83, tweede lid, aanhef en onder a tot en met k, van de AVG. De in die bepaling vermelde omstandigheden moeten elk slechts eenmaal worden bezien. In de vorige stap is reeds rekening gehouden met de aard, ernst en duur van de overtreding (onderdeel a), de opzettelijke of nalatige aard van de inbreuk (onderdeel b) en de categorieën van persoonsgegevens (onderdeel g). Daardoor resteren nog de onderdelen c tot en met f en h tot en met k.

169. De enige van toepassing zijnde omstandigheid is de wijze waarop de AP kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke de inbreuk heeft gemeld (onderdeel h). In dit geval heeft Uber de inbreuken niet zelf gemeld, maar zijn deze door klachten ter kennis van de AP gekomen. Dit wordt volgens de Richtsnoeren echter beoordeeld als “neutraal” en heeft daarom geen gevolgen voor de hoogte van de op te leggen boete.

5.3.4 Stap 4: Controle overschrijding voor de inbreuken geldende maximumbedragen

170. Zoals vermeld, geldt – ook gelet op de omzet van Uber – voor de geconstateerde overtreding een maximum boetehoogte van 4% van de wereldwijde jaaromzet van de onderneming. De jaaromzet bedraagt € 34,235 miljard, zodat het boetemaximum voor de overtreding € 1,369 miljard bedraagt.

171. Op grond van de bovenstaande overwegingen stelt de AP het boetebedrag voor de geconstateerde overtreding vast op € 290 miljoen. Dit ligt onder het wettelijk maximum zodat zich geen overschrijding daarvan voordoet.

5.3.5 Stap 5: Beoordeling vereisten van doeltreffendheid, evenredigheid en afschrikking

172. Tot slot moet worden beoordeeld of de boete doeltreffend, evenredig en afschrikkend is. Daarnaast mag de bestuurlijk boete gezien de omstandigheden van het geval niet leiden tot een onevenredige uitkomst.

173. De Richtsnoeren schrijven voor dat het opleggen van een bestuurlijke boete als doeltreffend kan worden beschouwd indien deze het doel bereikt waarvoor zij is opgelegd. Het doel kan zijn het bestraffen van onrechtmatige gedragingen, alsmede het bevorderen van naleving van geldende voorschriften. Gezien de

47/48

bovenstaande overwegingen aangaande de aard, ernst en duur van de inbreuk, alsmede de verzwarende en verzachtende omstandigheden van artikel 83, tweede lid, AVG is de AP van oordeel dat de onderhavige bestuurlijke boete beide doelen bereikt en derhalve doeltreffend en afschrikkend is.

174. De AP is verder van oordeel dat het opleggen van de boete en de hoogte ervan, door de ernst van de overtreding en de omvang van de onderneming, niet onevenredig is. Uber heeft in haar zienswijze aangegeven dat het opleggen van een bestuurlijke boete tot onevenredige gevolgen leidt voor Uber, omdat een eventuele melding over de boete aan de New York Stock Exchange aanzienlijke consequenties kan hebben op de koers van het aandeel van Uber. De AP ziet in hierin echter geen aanleiding om de boete onevenredig te achten. Weliswaar is niet uitgesloten dat de boete van enige invloed kan zijn op de koers van het aandeel van Uber, maar niet aannemelijk is gemaakt dat dit van dusdanige invloed is dat de boete onevenredig moet worden geacht. Daarbij is ook van belang dat de hoogte van de boete voldoende afschrikkend moet zijn en recht moet doen aan de aard en de ernst van de overtreding. Naar het oordeel van de AP hebben zich in dit verband geen andere bijzondere omstandigheden voorgedaan dat de boete niet evenredig zou zijn.

175. De AP merkt ten overvloede nog het volgende op met betrekking tot Boetebeleidsregels AP 2019. Indien de AP een boete aan de hand van dit beleid zou hebben moeten opgelegd, dan zou de AP, gezien de wereldwijde omzet van Uber en daarmee de grote omvang van haar als overtreder, aanleiding hebben gezien om toepassing te geven aan artikel 8.4 van de Boetebeleidsregels AP 2019. De vaststelling van boetebedragen binnen de boetebandbreedte van de Boetebeleidsregels AP 2019 zou in dat geval namelijk niet tot een passende bestraffing leiden die doeltreffend, evenredig en afschrikkend zou zijn. De conclusie is dat de AP onder vigeur van de Boetebeleidsregels 2019 een boete van gelijke hoogte zou hebben opgelegd.

48/48

6. Besluit Boete De AP legt aan Uber B.V. en Uber Technologies Inc. gezamenlijk, wegens overtreding van art. 44. AVG een bestuurlijke boete op ten bedrage van € 290.000.000 (zegge: tweehonderdnegentig miljoen euro).125

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

mr. A. Wolfsen Voorzitter

Rechtsmiddelenclausule

Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Contact, item “Bezwaar of klacht over de AP”.126

Het adres voor het indienen op papier is:

Autoriteit Persoonsgegevens Postbus 93374 2509 AJ Den Haag.

Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’.

Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer), of voeg een kopie van dit besluit bij; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

125 De AP zal de vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB). De AP zal pas tot invordering van de boete overgaan nadat eventuele juridische (vervolg)procedures over dit besluit zijn afgerond. 126 De directe URL is .