Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend

Contactpersoon

Onderwerp
Besluit tot oplegging van een bestuurlijke boete aan Uber

Geachte ,

De Autoriteit Persoonsgegevens (hierna: AP) is van oordeel dat Uber Technologies Inc. en Uber B.V. (hierna tezamen: Uber) een aantal overtredingen van de Algemene verordening gegevensbescherming (AVG) heeft begaan met betrekking tot transparantie. Het gaat om het uitsluitend in de Engelse taal aanbieden van de guidance notes aan chauffeurs en het niet in een gemakkelijk toegankelijke vorm verstrekken van informatie in reactie op een inzageverzoek, wat in strijd is met artikel 12, eerste lid, van de AVG. Daarnaast is het digitale formulier waarmee chauffeurs hun recht op inzage en gegevensoverdraagbaarheid kunnen uitoefenen, niet gemakkelijk genoeg bereikbaar in de chauffeurs-app, hetgeen in strijd is met artikel 12, tweede lid, van de AVG. Ook is de informatie over de bewaartermijnen in de privacyverklaring niet voldoende specifiek (artikel 13, tweede lid, aanhef en onder a en artikel 15, eerste lid, onder d, van de AVG) en is de informatie over doorgifte niet volledig en betekenisvol genoeg (artikel 13, eerste lid, aanhef en onder f, van de AVG). Tenslotte heeft Uber in de privacyverklaring het recht op gegevensoverdraagbaarheid niet expliciet genoemd (artikel 13, tweede lid, onder b, van de AVG).

Voor het begaan van deze overtredingen legt de AP aan Uber Technologies Inc. en Uber B.V. gezamenlijk bestuurlijke boetes op van in totaal € 10.000.000,00.

2/23

1. Aanleiding onderzoek

Uber is een internationaal opererend bedrijf dat onder andere als intermediair optreedt tussen taxichauffeurs en passagiers. Passagiers maken gebruik van de algemene Uber App (voor mobiele telefoons) of eventueel een browser, chauffeurs maken gebruik van de Uber Driver App (hierna: chauffeurs-app).

Voor het gebruik van de chauffeurs-app is het maken van een account voor chauffeurs verplicht. Chauffeurs worden na een rit door hun klanten beoordeeld en uitbetaald door Uber voor de geleverde diensten.

Uber heeft een digitaal formulier ingericht, dat bereikbaar is via de website van Uber en via de chauffeurs-app, dat chauffeurs kunnen gebruiken om verzoeken tot inzage en gegevensoverdraagbaarheid met betrekking tot hun persoonsgegevens in te dienen. Uber heeft ook een privacyverklaring opgesteld, waarmee Uber inzicht geeft in de verwerking van persoonsgegevens door Uber.

Op 12 juni 2020 heeft de Commission Nationale de l’Informatique et des Libertés (CNIL) een klacht ontvangen van de Franse niet-gouvernementele organisatie Ligue Des Droits De L’homme Et Du Citoyen (LDH) namens 21 Uber-chauffeurs. Gaandeweg hebben zich nog eens 151 Uber-chauffeurs bij de klacht aangesloten, zodat deze namens 172 klagers is ingediend. Op 29 september 2020 heeft de LDH een aanvullende klacht ingediend bij de CNIL. De klachten zijn door de CNIL doorgestuurd naar de AP, waarna de afdeling Internationaal Onderzoek van de AP een onderzoek is gestart en een rapport heeft opgemaakt.

2. Bevindingen onderzoeksrapport

In het rapport worden 5 overtredingen met betrekking tot transparantie geconstateerd, namelijk:

1) Het digitale formulier waarmee een inzageverzoek kan worden gedaan is niet gemakkelijk genoeg bereikbaar in de chauffeurs-app (art. 12, lid 2, AVG). 2) Uber verstrekt in reactie op een inzageverzoek een kopie van de persoonsgegevens in een niet gemakkelijk toegankelijke vorm, en de guidance notes daarbij zijn niet in een voor (Franse) chauffeurs begrijpelijke taal (Engels) (art 12, lid 1, AVG). 3) Uber verstrekt in de privacyverklaring niet voldoende specifieke informatie over de bewaartermijnen (art. 13, lid 2, a, AVG en art. 15, lid 1, a en d AVG). 4) Uber noemt in de privacyverklaring niet concreet de namen van de landen waar doorgifte van gegevens naar plaatsvindt en ook niet de specifieke beschermingsmaatregelen (art. 13, lid 1, f, AVG en art. 15, lid 2, AVG). 5) Uber noemt het recht op gegevensoverdraagbaarheid/dataportabiliteit niet expliciet in haar privacyverklaring (art. 13, 2, b, AVG).

3/23

De Afdeling Internationaal Onderzoek heeft in het onderzoeksrapport geconcludeerd dat Uber bovenstaande overtredingen heeft begaan vanaf 25 mei 2018 tot en met de datum van vaststelling van het onderzoeksrapport (30 juni 2022). Op 8 juli 2022 zijn het onderzoeksrapport en het voornemen tot handhaven aan Uber verzonden. Uber heeft bij brief van 15 september 2022 haar schriftelijke zienswijze gegeven op het onderzoeksrapport en het voornemen tot handhaven. Op 12 januari 2023 heeft Uber haar zienswijze mondeling toegelicht. Daarvan is een verslag gemaakt (bijlage bij dit besluit).

Conform artikel 60 AVG heeft de AP het ontwerpbesluit aan de betrokken toezichthoudende autoriteiten voorgelegd.

3. Juridisch kader

De AP verwijst naar de bijlage bij dit besluit, waarin het juridisch kader is opgenomen.

4. Beoordeling

4.1 Verwerkingsverantwoordelijke en bevoegdheid AP

Uber B.V. is de Nederlandse vestiging van Uber, Uber Technologies Inc. is gevestigd in de Verenigde Staten en is de moederonderneming van onder andere Uber B.V. Gezamenlijk stellen Uber B.V. en Uber Technologies Inc. het doel van en de middelen voor de verwerking van persoonsgegevens van de Uber-chauffeurs in de Europese Economische Ruimte (EER) vast. De (Franse) chauffeurs hebben een overeenkomst met Uber B.V. Voor verzoeken met betrekking tot rechten van betrokkenen is grofweg de verdeling dat Uber B.V. verantwoordelijk is voor de beoordeling van dergelijke verzoeken en dat Uber Technologies Inc. de technische middelen en de gegevens beschikbaar stelt. Uber Technologies Inc. is ook de uitgever van de chauffeurs-app.

In Ubers privacy statement worden Uber B.V. en Uber Technologies Inc. eveneens aangemerkt als gezamenlijke verwerkingsverwerkingsverantwoordelijke. De gezamenlijke verwerkingsverantwoordelijkheid is door Uber niet betwist.

Uber biedt haar diensten in meerdere lidstaten van de EU aan en voor deze diensten verwerkt Uber persoonsgegevens. Dit betekent dat betrokkenen in meer dan één lidstaat wezenlijke gevolgen ondervinden van de verwerking van persoonsgegevens door Uber. Daarmee is sprake van een grensoverschrijdende verwerking (artikel 4, aanhef en onder 23, sub a en b, AVG). Omdat de centrale administratie van Uber in de EER gelegen is bij Uber B.V, wordt Uber B.V. aangemerkt als hoofdvestiging in de zin van artikel 4, aanhef en onder 16, AVG. De AP is competent om op te treden als leidende toezichthoudende autoriteit (artikel 56, eerste lid, AVG).

4/23

4.2 Bereikbaarheid formulier voor inzageverzoeken

In het onderzoeksrapport is vastgesteld dat het digitale formulier waarmee chauffeurs hun recht op inzage en gegevensoverdraagbaarheid kunnen uitoefenen, niet gemakkelijk genoeg bereikbaar is in de chauffeurs-app omdat er te veel stappen moeten worden doorlopen en de bewoordingen van de stappen niet intuïtief leiden tot het formulier. Uber faciliteert hierdoor de uitoefening van voornoemde rechten van betrokkenen niet voldoende en overtreedt artikel 12, tweede lid, AVG.

Zienswijze Uber Uber geeft aan dat uit de AVG, wetsgeschiedenis, rechtspraak, geldende richtsnoeren en richtlijnen noch gezaghebbend commentaar volgt hoeveel handelingen een betrokkene precies mag verrichten om een inzage- of overdrachtsverzoek te doen. Dit geldt ook voor het argument van de AP dat een betrokkene op intuïtie een pagina moet kunnen bereiken. Uber heeft op grond van artikel 12, tweede lid, AVG een zekere ruimte om zelf te bepalen hoe zij het recht op inzage en gegevensoverdraagbaarheid faciliteert. De AP introduceert verder zonder onderbouwing een nieuwe norm door te stellen dat het formulier “voldoende gemakkelijk” te vinden moet zijn, aldus Uber.

In de richtsnoeren1 legt de EDPB de transparantieplichten zo uit dat daaraan kan worden voldaan door een “gelaagde informatiestructuur” te hanteren. Van de chauffeurs mag dus worden verwacht dat zij meerdere stappen doorlopen. Dit is ook in het consumentenrecht de maatstaf. Chauffeurs maken iedere dag gebruik van het menu in de app en een redelijke en gemiddelde chauffeur zal in staat zijn om zonder enige moeite het formulier te vinden, ook als hij daarvoor zes keer moet doorklikken. Daarnaast wijst Uber erop dat de chauffeurs-app is gemaakt voor een smartphone met een klein scherm. Uber wil voorkomen dat chauffeurs bij het gebruik van de app door lange menu’s moeten scrollen en heeft daarom gekozen voor menupaden.

Vervolgens geeft Uber aan dat de AP wel erkent dat Uber meerdere manieren aanbiedt om een inzage- of overdrachtsverzoek in te dienen, maar de AP heeft volgens Uber ten onrechte alleen gekeken naar de manieren die Uber aanbiedt in de chauffeurs-app. De AP heeft ook ten onrechte de route die via de chauffeurs-app doorschakelt naar de privacyverklaring op de website buiten beschouwing gelaten. Uber weerspreekt het aantal stappen dat de AP heeft geteld om bij het formulier te komen: Uber hanteert een andere telling en komt op een lager aantal stappen uit.

Met betrekking tot de bewoordingen van de verschillende stappen geeft Uber aan dat “meer voor de hand liggend” geen bestaand criterium is in de AVG en dat het subjectief is welke route het meest voor de hand ligt. Het hoger positioneren van het formulier onder een kop “privacy” gaat ten koste van andere menuopties. Sinds februari 2022 zijn door Uber aanpassingen gedaan in de routes in de chauffeurs-app naar het formulier, maar deze aanpassingen zijn niet meegenomen in het onderzoeksrapport.

1 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679

5/23

Beoordeling In de in het rapport beoordeelde versie van de chauffeurs-app moeten, schematisch weergegeven, de volgende stappen worden doorlopen om bij het formulier te komen om een verzoek tot inzage of gegevensoverdraagbaarheid in te dienen: Menu > Help> Account and app issues > Legal concerns > Request your personal Uber data> Submit a privacy inquiry > inloggen via “Sign in to get help” of “Submit a privacy inquiry without an Uber account” waarna de chauffeur uitkomt bij het formulier (route 1). In het rapport is ook nog een route beschreven die via een link de privacyverklaring op de website van Uber opent, alwaar ook op een link kan worden geklikt naar “submit a privacy inquiry” (route 2)2. In het rapport is deze route verder buiten beschouwing gelaten, omdat Uber de chauffeurs in ieder geval in hun rechten dient te faciliteren via de chauffeurs-app (en in route 2 wordt via de app overgegaan op de website van Uber).

Uit het onderzoek is gebleken dat de voornaamste interactie tussen Uber en de chauffeurs plaatsvindt via de chauffeurs-app3. Om deze reden is de AP van oordeel dat in ieder geval in de chauffeurs-app de chauffeurs gefaciliteerd moeten worden in de uitoefening van hun rechten in de zin van artikel 12, tweede lid, AVG. Overeenkomstig overweging 59 bij de AVG dienen er regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten gemakkelijker uit te oefenen. Dit brengt met zich mee dat de regelingen dienen aan te sluiten op de manieren waarop met betrokkenen wordt geïnteracteerd.4 Dat Uber ook via andere wegen de mogelijkheid biedt aan chauffeurs om een verzoek tot inzage of gegevensoverdraagbaarheid in te dienen, doet niet af aan het feit dat chauffeurs in ieder geval in de chauffeurs-app gefaciliteerd dienen te worden in de uitoefening van hun rechten. De AP is wel van oordeel dat route 2 naar het verzoekformulier in het onderzoeksrapport ten onrechte verder buiten beschouwing is gelaten, omdat de privacyverklaring op de website via de chauffeurs-app automatisch wordt geopend en dit geen afbreuk doet aan het faciliteren van het doen van een verzoek. De door Uber in haar zienswijze beschreven routes die sinds februari 2022 in de chauffeurs-app zijn geïntroduceerd, zijn eveneens ten onrechte niet meegenomen in het onderzoek omdat deze wel binnen de onderzochte periode vallen. Het gaat dan om de door Uber gewijzigde route: Menu> Help > legal, ethics and compliance > request your personal Uber data > inloggen of “Submit a privacy inquiry waarna de chauffeur uitkomt bij het formulier (route 3). Ook heeft Uber heeft in dat verband gewezen op de introductie van het Privacy Center dat op 17 februari 2022 in heel Europa is geïntroduceerd. De stappen via het Privacy Center zijn als volgt: Account > security and privacy> privacy center > Would you like a copy of your personal data? > inloggen of “Submit a privacy inquiry without an account” waarna de chauffeur uitkomt bij het formulier (route 4). Daarnaast wijst Uber op een vijfde route via de Privacy verklaring.

Met betrekking tot het aantal te doorlopen stappen in de verschillende routes om het verzoekformulier te bereiken overweegt de AP het volgende. Uit overweging 59 bij de AVG volgt dat bij het faciliteren rekening moet worden gehouden met het gemak voor betrokkene bij het uitoefenen van zijn rechten. De AP

2 Schematisch weergegeven: tot en met “legal concerns” dezelfde route als route 1 > Privacy notice information > Privacy Notice (selecteren juiste taal en jurisdictie) en vervolgens komt men uit op de privacyverklaring waarin op een link kan worden geklikt naar “submit a privacy inquiry”. 3 Randnummers 30 t/m 32 van het onderzoeksrapport. 4 Zie ook Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, paragraaf 55.

6/23

onderschrijft het standpunt van Uber dat het hanteren van een gelaagde informatiestructuur het vinden van informatie voor betrokkenen onder bepaalde omstandigheden gemakkelijker kan maken. Dit is het geval bij de chauffeurs-app die veelal gebruikt zal worden op smartphones met een beeldscherm van beperkt formaat, en waarin relatief veel informatie (over verschillende onderwerpen) wordt aangeboden. Tegelijkertijd moet bij een gelaagde informatiestructuur het kunnen vinden van informatie door betrokkenen niet worden belemmerd doordat onnodig vaak moet worden “doorgeklikt”. Er zal dus een balans moeten worden gevonden tussen het aantal te doorlopen handelingen en de hoeveelheid aangeboden informatie per “stap”. Bovendien dient de bewoording van de te doorlopen stappen faciliterend te zijn, hetgeen met zich brengt dat betrokkene eenvoudig en dus zonder omhaal naar het gewenste verzoekformulier dient te worden geleid. Een adequate bewoording van de verschillende stappen naar het formulier is in verband met de facilitatieplicht onontbeerlijk. Het plaatsen van (de route naar) het verzoekformulier waarmee chauffeurs hun rechten op grond van de AVG kunnen uitoefenen onder “Help”, “Account and app issues” of “Account” en “Legal concerns” of “Legal, ethics, and compliance” is naar het oordeel van de AP niet voor de hand liggend. Een rechtstreekse plaatsing onder bijvoorbeeld “Privacy” acht de AP eenvoudig en zonder omhaal. De AP is met betrekking tot route 1 en 2 van oordeel dat de combinatie van het aantal te doorlopen stappen en de bewoording ervan een dermate hoge drempel opwerpen voor betrokkenen, dat Uber haar chauffeurs daarmee onvoldoende faciliteert. Daarmee is naar het oordeel van de AP sprake van een overtreding van artikel 12, tweede lid, van de AVG.

De AP is evenwel van oordeel dat deze overtreding met ingang van 17 februari 2022 is beëindigd door de introductie van het Privacy Center dat de hiervoor beschreven route 4 bevat. Door het creëren van een logische plek met een heldere benaming faciliteert Uber haar chauffeurs bij de uitoefening van hun recht op inzage en gegevensoverdraagbaarheid.

4.3 Reactie op inzageverzoek: vorm en taal

De AP heeft vastgesteld dat Uber in reactie op een inzageverzoek informatie verstrekt in een CSV-bestand, zonder dat Uber informatie verstrekt over hoe de informatie uit een dergelijk bestand gestructureerd kan worden weergegeven. Omdat Uber de informatie niet in een gemakkelijk toegankelijke vorm verstrekt, overtreedt zij artikel 12, eerste lid, AVG. Daarnaast heeft de AP vastgesteld dat Uber artikel 12, eerste lid, AVG overtreedt door de guidance notes, waarin Uber bij het aanleveren van de informatie nadere uitleg geeft over de waarden in de CSV-bestanden, alleen in het Engels te verstrekken. Deze overtreding raakt niet alleen de Franse chauffeurs, maar nagenoeg alle chauffeurs van Uber in Europa.

Vorm: zienswijze Uber Uber stelt dat de AVG niet concreet voorschrijft welke vorm voldoet aan de norm ‘gemakkelijk toegankelijk’ of aan de hand van welke criteria dit bepaald kan worden. Ook de uitleg in de Richtsnoeren5

maakt de norm weinig concreet, en de AP kan een overtreding van de AVG niet baseren op alleen de richtsnoeren. De AP onderschrijft volgens Uber op haar website dat de AVG niet voorschrijft op welke manier informatie verstrekt dient te worden. CSV is juist een heel geschikt bestandsformaat voor de

5 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679

7/23

verstrekking van informatie, omdat, in tegenstelling tot bijvoorbeeld bij een PDF-formaat, verdere analyse van de gegevens mogelijk is. Uber stelt daarnaast dat als maatstaf de ‘redelijke en gemiddelde betrokkene’ dient te gelden, en naar deze maatstaf zijn de CSV-bestanden die Uber verstrekt gemakkelijk toegankelijk. Uber voert daartoe aan dat CSV een universeel bestandsformaat is en door besturingssystemen Windows en Apple in beginsel automatisch zal worden geopend in software die tabellen kan weergeven. Ook als dat niet het geval is, voldoet Uber aan de norm ‘gemakkelijk toegankelijk’ omdat betrokkene dan eenvoudig de weergave van het bestand kan aanpassen, eventueel na een zoekmachine te hebben geraadpleegd voor instructies. Zelfs wanneer een CSV-bestand opent in een tekstbestand, is de informatie daarin nog steeds eenvoudig toegankelijk. Door verplicht te stellen dat Uber bij het verstrekken van informatie in CSV-formaat uitleg verschaft over hoe een bestand te openen is in vele verschillende softwareapplicaties, introduceert de AP een nieuwe norm.

Vorm: beoordeling De AP stelt voorop dat zij niet van oordeel is dat door verstrekking van informatie in een CSV-bestand niet kan worden voldaan aan de norm ‘gemakkelijk toegankelijk’ uit artikel 12, eerste lid, AVG. In de Richtsnoeren6 wordt over ‘gemakkelijk toegankelijk’ het volgende aangegeven: ‘Het element “gemakkelijk toegankelijk” houdt in dat de betrokkene die informatie niet zelf hoeft uit te zoeken; voor de betrokkene moet het onmiddellijk duidelijk zijn waar en hoe deze informatie te vinden is.’ Bij verstrekte informatie in reactie op een inzageverzoek heeft dit bijvoorbeeld betrekking op de structuur waarin de informatie wordt aangeboden (zoals het gebruik van paragrafen).

In een CSV-bestand zijn waarden uit een tabel opgeslagen als regels tekst. De waarden worden gescheiden door leestekens. Wanneer de informatie uit een CSV-bestand als regels tekst en daarmee op het oog ongestructureerd wordt weergegeven, is de vorm waarin de informatie wordt aangeboden niet gemakkelijk toegankelijk. Betrokkenen kunnen hieruit niet direct de informatie abstraheren. Door een spreadsheetprogramma te gebruiken kan de informatie uit een CSV-bestand wel in tabelvorm worden weergegeven. Een CSV-bestand kan automatisch in tabelvorm worden geopend in een spreadsheetprogramma, maar dit is, afhankelijk van bijvoorbeeld de instellingen, niet altijd het geval. De bestanden die Uber heeft verstrekt aan klagers bevatten een komma als scheidingsteken tussen de waarden. Dit is niet in alle gevallen automatisch bruikbaar als lijstscheidingsteken, bijvoorbeeld in landen of regio’s waar een komma ook als decimaalscheidingsteken wordt gebruikt (zoals Nederland en Frankrijk). Er wordt door Uber geen informatie verstrekt over hoe de informatie uit de CSV-bestanden gestructureerd kan worden weergegeven als het bestand niet automatisch in tabelvorm wordt geopend: betrokkene moet dit zelf uitzoeken7. Uber heeft de informatie zodoende niet in een gemakkelijk toegankelijke vorm verstrekt en heeft artikel 12, eerste lid, AVG overtreden.

6 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, paragraaf 11 7 Uber heeft in haar zienswijze aangegeven aan de guidance notes een uitleg toegevoegd te hebben hoe CSV-bestanden kunnen worden geopend, en ook een passage daarover toe te zullen voegen aan de begeleidende e-mail waarmee Uber CSV-bestanden verstuurt.

8/23

Taal: zienswijze Uber Door te toetsen of de guidance notes in een begrijpelijke taal zijn verstrekt, toetst de AP volgens Uber niet aan de juiste norm. Op grond van artikel 12, eerste lid, van de AVG moet de taal namelijk ‘duidelijk en eenvoudig’ zijn. Uber stelt zich op het standpunt dat de guidance notes in een duidelijke en eenvoudige taal zijn verstrekt. Niet een goede maar een redelijke beheersing van het Engels is voldoende om de guidance notes te kunnen begrijpen. Uber mag er daarnaast van uitgaan dat de Franse chauffeurs een goede beheersing van het Engels hebben, omdat Franse taxichauffeurs (en dus ook Uber-chauffeurs) verplicht een VTC-registratie moeten hebben. Hiervoor moet een examen worden afgelegd waarin onder meer het Engels op A2-niveau wordt getoetst.

Taal: beoordeling Hoewel in het onderzoeksrapport ten onrechte uitsluitend het criterium ‘begrijpelijk’ is gehanteerd, maakt dit de uitkomst van de beoordeling niet anders. Op grond van artikel 12, eerste lid, AVG moet informatie worden verstrekt in duidelijke en eenvoudige taal. Dit houdt onder meer in dat wanneer de verwerkingsverantwoordelijke zich richt tot betrokkenen die een andere taal spreken, een vertaling in die taal moet worden verstrekt.8 Het vereiste om duidelijke en eenvoudige taal te gebruiken houdt nauw verband met begrijpelijkheid.9 Uber mocht er niet van uitgaan dat de Franse chauffeurs voldoende kennis van het Engels hebben om de Engelse guidance notes te kunnen begrijpen. Het feit dat Franse Uber-chauffeurs voor hun VTC-registratie een examen moeten afleggen waarin onder meer het Engels op niveau A2 wordt getoetst maakt dit niet anders, omdat een slechte score op het onderdeel Engels met een goede score op andere examenonderdelen gecompenseerd kan worden.10 Het met goed gevolg afleggen van het examen voor een VTC-registratie geeft daarom geen indicatie van een beheersing van het Engels11. Ook wanneer dit wel het geval zou zijn, is de AP van oordeel dat beheersing van het Engels op niveau A2 onvoldoende is om de Engelse guidance notes te begrijpen. Voor het lezen en begrijpen van een tekst op A2 niveau geldt conform het Common European Framework of Reference for Languages (CEFR)12 de volgende norm: “Ik kan zeer korte eenvoudige teksten lezen. Ik kan specifieke voorspelbare informatie vinden in eenvoudige, alledaagse teksten zoals advertenties, folders, menu's en dienstregelingen en ik kan korte, eenvoudige, persoonlijke brieven begrijpen.” De guidance notes betreffen een document van 26 pagina’s met uitleg over de verschillende zeer specifieke tabelwaarden, zoals telematische gegevens en diverse apparaatgegevens. Dit overstijgt het niveau van een zeer korte en eenvoudige tekst zoals aangegeven door het CEFR. De AP wijst in dit verband ook op de boete die de Zweedse toezichthoudende autoriteit (IMY) aan Spotify heeft opgelegd,13 onder meer vanwege het niet verstrekken van technische logbestanden in de taal van betrokkenen (maar uitsluitend in het Engels). De

8 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, paragraaf 13 9 Zie Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, paragraaf 9 10 Zie Arrêté du 6 avril 2017 relatif aux programmes et à l'évaluation des épreuves des examens d'accès aux professions de conducteur de taxi et de conducteur de voiture de transport avec chauffeur. Voor het examenonderdeel Engels moeten minimaal 4 van de 20 meerkeuzevragen goed beantwoord worden. Voor alle zeven examenonderdelen samen moet om te slagen minstens een gemiddelde score van 10 op 20 behaald worden. 11 Op A-2 niveau. 12 Common European Framework of Reference for Languages, Council of Europe 13 Besluit van 12 juni 2023 met kenmerk DI-2019-6696, zie https://www.imy.se/globalassets/dokument/beslut/2023/beslut-tillsyn-spotify.pdf

9/23

verwerkingsverantwoordelijke moet voldoende maatregelen nemen om ervoor te zorgen dat betrokkenen de informatie begrijpen. Door de chauffeurs de guidance notes alleen in het Engels te verstrekken en niet in de lokale talen, heeft Uber artikel 12, eerste lid, AVG overtreden.

Sinds 29 juni 2022 biedt Uber de guidance notes in meerdere talen aan, waaronder het Frans.

4.4 Privacyverklaring: bewaartermijnen

In haar reactie op een inzageverzoek verwijst Uber voor de bewaartermijnen naar de privacyverklaring. In het onderzoeksrapport is vastgesteld dat de door Uber in de privacyverklaring14 verstrekte informatie over de bewaartermijnen te algemeen is, waardoor Uber artikel 13, tweede lid, onder a, en artikel 15, eerste lid, onder d, van de AVG overtreedt.

Zienswijze Uber Uber geeft aan dat de uitleg uit de richtsnoeren15 dat het onvoldoende is om te verklaren dat persoonsgegevens zo lang zullen worden bewaard als nodig is voor het rechtmatige doel van de verwerking verder gaat dan de AVG voorschrijft. Dit staat haaks op artikel 5, eerste lid, sub e, van de AVG waarin het criterium voor het bepalen van de bewaartermijn juist zo is geformuleerd en de AP mag een overtreding niet baseren op alleen de Richtsnoeren. Daarnaast moet informatie op grond van artikel 12, eerste lid, AVG beknopt en begrijpelijk worden aangeboden. In het geval van Uber als multinational is er sprake van verschillende bewaartermijnen per verwerking per land, in bepaalde landen per stad, per categorie van betrokkenen16 en die termijnen zijn aan verandering onderhevig. Het noemen van specifieke bewaartermijnen zou leiden tot een uitbreiding van de privacyverklaring met tientallen tot honderden pagina’s. Artikel 13, tweede lid, onder a, AVG schrijft ook alleen voor dat bewaartermijnen moeten worden genoemd als dat mogelijk is, wat om voornoemde reden bij Uber niet het geval is. Uber stelt ook dat de AP op basis van het onderzoeksrapport niet tot een schending van artikel 15, eerste lid, AVG kan concluderen, omdat de chauffeurs in reactie op een inzageverzoek op verschillende manieren van informatie worden voorzien en dit is niet meegenomen in het rapport. Daarnaast zijn de richtsnoeren waaraan de AP toetst niet relevant voor artikel 15 van de AVG. In de beoordeling van de versie van de privacyverklaring van 15 oktober 2020 heeft de AP ten onrechte een passage17 niet meegenomen in de beoordeling, terwijl die passage volgens Uber voldoet aan de vereisten waaraan de AP toetst.

14 Dossierstuk 23: de privacyverklaring van 12 oktober 2019 en de privacyverklaring van 1 september 2021 15 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, pagina 45: uitleg bij artikel 13, tweede lid onder a AVG. 16 Bijvoorbeeld drivers, koeriers, passagiers. 17 Dossierstuk 23, p. 25: “Following an account deletion request, Uber deletes the user’s account and data, unless they must be retained due to legal or regulatory requirements, for purposes of safety, security, and fraud prevention, or because of an issue relating to the user’s account such as an outstanding credit or an unresolved claim or dispute. Because we are subject to legal and regulatory requirements relating to drivers and delivery persons, this generally means that we retain their account and data for a minimum of 7 years after a deletion request. For riders and delivery recipients, their data is generally deleted within 90 days of a deletion request, except where retention is necessary for the above reasons.”

10/23

Beoordeling In de versie van de privacyverklaring van 12 november 2019 vermeldt Uber dat persoonsgegevens (van chauffeurs) worden bewaard zolang de gebruiker een account heeft. Daarnaast kan Uber informatie bewaren voor zover dit noodzakelijk is voor veiligheids-, beveiligings- en fraudepreventiedoeleinden, gevolgd door een voorbeeld. In de versie van 1 september 2021 komt de informatie over de bewaartermijnen er samengevat op neer dat Uber persoonsgegevens zo lang bewaart als noodzakelijk is voor verschillende doelen, gevolgd door de vermelding dat gebruikers (waaronder chauffeurs) kunnen verzoeken om hun account te verwijderen, waarna de gegevens worden verwijderd tenzij ze voor veiligheids-, beveiligings- en fraudepreventiedoeleinden of account gerelateerde zaken langer bewaard moeten worden. Omdat Uber gebonden is aan wet- en regelgeving met betrekking tot (o.a.) chauffeurs, betekent dit over het algemeen een bewaartermijn van minimaal zeven jaar voor zowel het account als de gegevens na een verzoek tot verwijdering van het account, aldus de privacyverklaring van Uber.

Op grond van artikel 13, tweede lid, aanhef en onder a, AVG moet de verwerkingsverantwoordelijke betrokkene bij het verkrijgen van de persoonsgegevens informeren over de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn. De AP constateert dat Uber in beide versies van de privacyverklaring geen (concrete) bewaartermijnen noemt. In de privacyverklaring van 1 september 2021 noemt Uber weliswaar een bewaartermijn van zeven jaar, maar deze termijn is niet voldoende concreet geformuleerd (het betreft alleen een minimale bewaartermijn en geldt ‘in het algemeen’ waarbij niet duidelijk is onder welke omstandigheden deze termijn al dan niet van toepassing is) en heeft uitsluitend betrekking op die gevallen waarin een verzoek tot verwijdering van een account is gedaan. Uber heeft in onder meer haar zienswijze aangegeven dat juist sprake is van vele verschillende bewaartermijnen. De AP constateert dat deze verschillende bewaartermijnen in de privacyverklaring niet worden genoemd.

In haar zienswijze heeft Uber voorts aangegeven dat het, gelet op de vele verschillende bewaartermijnen, niet mogelijk is om alle concrete bewaartermijnen te noemen en dat daarom mag worden volstaan met het noemen van de criteria ter bepaling van de termijnen. Het wel noemen van alle concrete bewaartermijnen zou volgens Uber tot een pagina’s lange privacyverklaring leiden wat in strijd is met artikel 12, eerste lid, AVG. De AP onderschrijft dat Uber gelet op de genoemde omstandigheden mag volstaan met het noemen van de criteria ter bepaling van de bewaartermijnen, maar constateert dat deze in de privacyverklaring eveneens niet voldoende worden benoemd. Het slechts in algemene zin noemen dat persoonsgegevens worden bewaard zolang als noodzakelijk is voor bepaalde doeleinden (zoals Uber doet) kan niet gelijk worden gesteld aan het noemen van criteria ter bepaling van de bewaartermijn. De verplichting tot het noemen van criteria ter bepaling van de bewaartermijn kan naar het oordeel van de AP niet anders worden uitgelegd dan dat betrokkenen in staat moeten zijn om de bewaartermijnen voor hun persoonsgegevens te bepalen, en de door Uber verstrekte informatie is gelet daarop te algemeen van aard. De AP stelt vast dat Uber artikel 13, tweede lid, aanhef en onder a, AVG heeft overtreden. De AP ziet, anders dan in het onderzoeksrapport is vermeld, onvoldoende grond in de onderzoeksbevindingen om een overtreding van artikel 15, eerste lid, aanhef en onder d, AVG vast te stellen.

11/23

4.5 Privacyverklaring: doorgifte

In haar reactie op een inzageverzoek verwijst Uber voor informatie over doorgifte naar de privacyverklaring. In het onderzoeksrapport is vastgesteld dat in de privacyverklaring niet de landen buiten de EER worden genoemd waarnaar doorgifte van persoonsgegevens plaatsvindt en welke specifieke maatregelen daarvoor zijn getroffen, waardoor Uber artikel 13, eerste lid, aanhef en onder f, en artikel 15, tweede lid, AVG heeft overtreden.

Zienswijze Uber Uber voert aan dat artikel 13, eerste lid, aanhef en onder f, AVG niet vereist dat doorgiftelanden genoemd worden. De interpretatie van de EDPB in de richtsnoeren18 dat in overeenstemming met het behoorlijkheidsbeginsel de informatie over doorgiften zo betekenisvol mogelijk moet zijn en dat dit betekent dat over het algemeen het derde land moet worden genoemd, is onjuist. Het behoorlijkheidsbeginsel is, gelet op de aanhef, al ingevuld in artikel 13, tweede lid, AVG (zoals de AP de zienswijze begrijpt: uitputtend ingevuld) en daarom niet van toepassing op het eerste lid van artikel 13 AVG. De uitleg van de EDPB is in tegenspraak met de tekst en systematiek van artikel 13, eerste en tweede lid, AVG. Daarnaast kan de AP een overtreding niet alleen op de richtsnoeren baseren. De richtsnoeren vereisen ook alleen dat over het algemeen de derde landen moeten worden genoemd en het is voor Uber onmogelijk om voorafgaand aan een verwerking vast te stellen naar welke specifieke landen de persoonsgegevens worden doorgegeven. Uber zou dan alle 72 landen waarin zij haar app aanbiedt moeten opnemen in de privacyverklaring en dit zal niet betekenisvol of begrijpelijk zijn. Hetzelfde geldt voor het noemen van alle beschermingsmaatregelen per land. Ook is Uber van mening dat gelet op de gedeelde verwerkingsverantwoordelijkheid van Uber B.V. en Uber Technologies Inc. in dit verband geen sprake is van doorgifte van persoonsgegevens naar derde landen, omdat de verwerkingen gelet op artikel 3, eerste lid, AVG binnen het toepassingsbereik van de AVG vallen.

Artikel 15, tweede lid, AVG vereist evenmin dat doorgiftelanden genoemd worden en de uitleg uit de richtsnoeren is op artikel 15 niet van toepassing. Uber stelt ook dat de AP op basis van het onderzoeksrapport niet tot een schending van artikel 15, tweede lid, AVG kan concluderen, omdat de chauffeurs in reactie op een inzageverzoek op verschillende manieren van informatie worden voorzien en dit is niet meegenomen in het rapport. De door de AP beoordeelde versies van de privacyverklaring voldoen ruimschoots aan de eisen die artikel 13, eerste lid, aanhef en onder f, van de AVG stelt, mede omdat in alle versies geklikt kon worden op ‘Standard contractual clauses’, waarna op een webpagina van de Europese Commissie de standaardbepalingen konden worden gedownload.

Tenslotte stelt Uber nog dat de AP ten onrechte de privacyverklaring van 13 juni 2022 niet heeft meegenomen in haar beoordeling.

Beoordeling Artikel 13, eerste lid, aanhef en onder f, AVG vereist in de eerste plaats dat de verwerkingsverantwoordelijke betrokkenen in voorkomend geval informeert dat de

18 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, pagina 44.

12/23

verwerkingsverantwoordelijke het voornemen heeft om de persoonsgegevens door te geven aan een derde land. De AP constateert dat Uber in de verschillende versies van de privacyverklaring19 slechts vermeldt dat Uber persoonsgegevens doorgeeft aan een derde land of derde landen. Met betrekking tot de toepasselijke waarborgen vereist artikel 13, eerste lid, aanhef en onder f, AVG dat moet worden aangegeven of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of welke andere passende waarborgen van toepassing zijn en hoe hier een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. De in deze bepaling gestelde eisen aan de informatieverstrekking zijn dermate specifiek dat betrokkenen toegang moet worden gegeven tot gedetailleerde informatie over de waarborgen die gebruikt worden om hun persoonsgegevens bij doorgifte te beschermen. In de richtsnoeren verwoordt de EDPB dit zo, dat in overeenstemming met het behoorlijkheidsbeginsel de informatie zo betekenisvol mogelijk moet zijn. 20 Wil een betrokkene er kennis van kunnen hebben aan welke landen zijn persoonsgegevens doorgegeven worden, dan brengt het voorgaande met zich dat de betreffende doorgiftelanden worden genoemd. Uber maakt in de verschillende versies van de privacyverklaring slechts in algemene bewoordingen en zonder uitsluitsel te geven gewag van de verschillende van toepassing zijnde waarborgen (bijvoorbeeld in de privacyverklaring van 1 september 2021: “We do so in order to fulfil our agreements with users, such as our Terms of Use, or based on users’ prior consent, adequacy decisions for the relevant countries, or other transfer mechanisms as may be available under applicable law, such as the Standard Contractual Clauses”) en geeft hierbij niet aan hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. Dit stelt betrokkenen niet in de gelegenheid om na te gaan welke waarborgen voor hen relevant kunnen zijn en wat deze waarborgen precies inhouden (door de van toepassing zijnde waarborgen te kunnen raadplegen). Uber heeft daarmee artikel 13, eerste lid, aanhef en onder f, AVG overtreden. In tegenstelling tot wat Uber in haar zienswijze aanvoert, sluit het feit dat in het tweede lid van artikel 13 AVG een nadere invulling wordt gegeven aan het behoorlijkheidsbeginsel, de toepasbaarheid van het behoorlijkheidsbeginsel uit artikel 5, eerste lid, onder a, AVG op het eerste lid van artikel 13 AVG niet uit.21

Met betrekking tot de reactie van Uber op een verzoek om inzage ziet de AP, anders dan zoals in het onderzoeksrapport is vermeld, onvoldoende grond in de onderzoeksbevindingen om een overtreding van artikel 15, tweede lid, AVG vast te stellen.

4.6 Privacyverklaring: gegevensoverdraagbaarheid

In het onderzoekrapport is geconstateerd dat Uber in de privacyverklaring het recht op gegevensoverdraagbaarheid niet expliciet vermeldt en daarmee niet voldoet aan artikel 13, tweede lid, aanhef en onder b, AVG.

19 Namelijk die van 25 mei 2018, 12 november 2019, 1 september 2021 en de bij de zienswijze verstrekte privacyverklaring van 13 juni 2022 (dossierstuk 25). 20 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, pagina 44. 21 Zie ook overweging 60 bij de AVG waarin het behoorlijkheidsbeginsel wordt genoemd in verband met verplichtingen uit het eerste lid van artikel 13 AVG.

13/23

Zienswijze Uber Uit artikel 20, eerste lid, AVG blijkt volgens Uber dat het recht op gegevensoverdraagbaarheid bestaat uit twee handelingen, namelijk het verkrijgen (van Uber) en het overdragen (door betrokkene). Uber geeft aan dat het recht op gegevensoverdraagbaarheid in de privacyverklaring wel wordt genoemd, namelijk als ‘receiving data’. Uber legt in haar privacyverklaring ook uit wat het recht op gegevensoverdraagbaarheid inhoudt, bewust zonder daarbij complexe termen (zoals dataportabiliteit) te gebruiken. De richtlijnen22

(waarin is opgenomen dat tussen het recht op gegevensoverdraagbaarheid en andere rechten onderscheid moet worden gemaakt), geven slechts een uitleg en de AP kan een overtreding niet alleen hierop baseren. Tenslotte stelt Uber nog dat de AP ten onrechte de privacyverklaring van 1 september 2021 niet heeft meegenomen in haar beoordeling.

Beoordeling Artikel 13, tweede lid, aanhef en onder b, AVG verplicht de verwerkingsverantwoordelijke om bij de verstrekking van persoonsgegevens betrokkene onder meer te informeren over het recht op gegevensoverdraagbaarheid. De AP constateert dat Uber in de verschillende versies van de privacyverklaring23 het recht op gegevensoverdraagbaarheid niet expliciet noemt. Het standpunt van Uber dat met ‘receiving data’ wordt geïnformeerd over het recht op gegevensoverdraagbaarheid volgt de AP niet, omdat met het ontvangen van de persoonsgegevens die door Uber worden verwerkt ook het gevolg geven aan het recht op inzage op grond van artikel 15 AVG kan worden verstaan. De verplichting uit artikel 13, tweede lid, aanhef en onder b, AVG om te informeren over het recht op gegevensoverdraagbaarheid brengt vanzelfsprekend met zich dat dit recht separaat en expliciet moet worden benoemd. Dit wordt eveneens zo uiteengezet in de richtlijnen.24 Door het recht op gegevensoverdraagbaarheid niet separaat en expliciet te benoemen, heeft Uber artikel 13, tweede lid, aanhef en onder b, AVG overtreden.

Met ingang van 3 november 2022 noemt Uber het recht op gegevensoverdraagbaarheid wel expliciet in haar privacyverklaring. De overtreding is daarmee beëindigd.

5. Bestuurlijke boete

5.1 Zienswijze Uber

Uber heeft in haar zienswijze – samengevat – naar voren gebracht dat het onderzoeksrapport geen herstel- of sanctiemaatregelen rechtvaardigt. Uber verwijst daarvoor naar haar reeds per overtreding (uit het onderzoeksrapport) gegeven zienswijze. Daarnaast is Uber van mening dat het lex certa-beginsel zich verzet tegen handhaving, omdat de bepalingen waaraan de AP in het onderzoeksrapport het handelen van Uber toetst veelal niet duidelijk en uitgekristalliseerd zijn en daarmee onvoorzienbaar. Het opleggen van

22 Richtlijnen inzake het recht op gegevensoverdraagbaarheid van WP29, pagina 15 en 16.

23 Namelijk die van 25 mei 2018, 12 november 2019 en 1 september 2021. 24 Zie ook de Richtlijnen inzake het recht op gegevensoverdraagbaarheid van WP29, pagina 15 en 16.

14/23

een maatregel leidt volgens Uber ook tot onevenredige gevolgen voor Uber in de zin van artikel 3:4, tweede lid, van de Algemene wet bestuursrecht (Awb), omdat Uber constant bezig is met het verbeteren van haar diensten en zich altijd bereid heeft getoond om met de AP samen te werken. Tenslotte stelt Uber zich op het standpunt dat zij ten onrechte niet in de gelegenheid is gesteld om een zienswijze naar voren te brengen op de inhoud van een voorgenomen sanctiebesluit. Het voornemen tot handhaving dat Uber van de AP heeft ontvangen is te algemeen en stelt Uber niet in de gelegenheid haar zienswijze te geven op de hoogte van de boete, de ernst en omvang van de geconstateerde overtredingen en de uiteindelijke onderbouwing daarvan.

5.1.1 Beoordeling bestuurlijke boete

Hiervoor heeft de AP geconcludeerd dat Uber in artikel 12, eerste lid, AVG heeft overtreden door de informatie in de CSV-bestanden niet in een gemakkelijk toegankelijke vorm te verstrekken en daarnaast de guidance notes alleen in het Engels te verstrekken. Dit vond plaats in de periode vanaf 25 mei 2018 tot 29 juni 2022. Ten tweede heeft Uber artikel 12, tweede lid, AVG overtreden doordat het digitale formulier waarmee chauffeurs hun recht op inzage en gegevensoverdraagbaarheid kunnen uitoefenen, niet gemakkelijk genoeg bereikbaar is in de chauffeurs-app. Deze overtreding vond plaats in de periode vanaf 25 mei 2018 tot 17 februari 2022.

Ten derde is de door Uber verstrekte informatie over bewaartermijnen in de privacyverklaring te algemeen van aard, waardoor Uber artikel 13, tweede lid, aanhef en onder a, AVG heeft overtreden. Ten vierde heeft Uber artikel 13, eerste lid, aanhef en onder f, AVG overtreden doordat de verstrekte informatie over doorgifte in de privacyverklaring onvolledig is. De AP stelt dit vast voor de periode vanaf 25 mei 2018 tot de datum van het onderzoeksrapport (30 juni 2022).

Tenslotte heeft Uber het recht op gegevensoverdraagbaarheid niet expliciet benoemd in haar privacyverklaring, wat leidt tot een overtreding van artikel 13, tweede lid, aanhef en onder b, AVG. Dit vond plaats vanaf 25 mei 2018 tot 3 november 2022.

De AP ziet daarin aanleiding gebruik te maken van haar bevoegdheid op grond van artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83 AVG en artikel 14, derde lid, Uitvoeringswet AVG, aan Uber (Uber Technologies Inc. en Uber B.V. tezamen) een bestuurlijke boete op te leggen.

5.1.2 Beroep op lex certa-beginsel

Met betrekking tot het beroep van Uber op het lex certa-beginsel, dat onder andere besloten ligt in artikel 49 van het Handvest van de grondrechten van de EU, overweegt de AP het volgende. Zoals de Afdeling bestuursrechtspraak van de Raad van State meermaals heeft overwogen,25 verlangt het lex certa-beginsel van de wetgever dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedragingen omschrijft. Daarbij moet niet uit het oog worden verloren dat de wetgever soms

25 Zie onder meer de uitspraken van 9 juli 2014, ECLI:NL:RVS:2014:2493, 16 januari 2019, ECLI:NL:RVS:2019:109.

15/23

met een zekere vaagheid, bestaande uit het gebruik van algemene termen, verboden gedragingen omschrijft om te voorkomen dat gedragingen die strafwaardig zijn buiten het bereik van die omschrijving vallen. Die vaagheid kan onvermijdelijk zijn, omdat niet altijd te voorzien is op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, de omschrijvingen van verboden gedragingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van wetgeving schade lijdt. Oftewel, het lex certa-beginsel verlangt van de wetgever dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedragingen omschrijft.26

Het betoog van Uber over het lex certa-beginsel richt zich op de door de AP geconstateerde overtreding met betrekking tot de bereikbaarheid van het formulier voor inzageverzoeken en de vorm van de informatieverstrekking in relatie tot de CSV-bestanden. De AP is van oordeel dat een “gemakkelijk toegankelijke vorm” in de zin van artikel 12, eerste lid, AVG met zich brengt dat informatie die in reactie op een inzageverzoek is verstrekt in een CSV-bestand gestructureerd moet kunnen worden weergegeven (wanneer het bestand niet automatisch zo opent), zonder dat betrokkene zelf moet uitzoeken hoe dit moet. Van strijd met het lex certa-beginsel is geen sprake omdat de tekst van de bepaling voldoende duidelijk is. Dit geldt te meer nu in de Richtsnoeren27 wordt aangegeven dat het element “gemakkelijk toegankelijk” inhoudt dat de betrokkene die informatie niet zelf hoeft uit te zoeken; voor de betrokkene moet het onmiddellijk duidelijk zijn waar en hoe deze informatie te vinden is. Het feit dat het begrip “gemakkelijk toegankelijk” uit artikel 12, eerste lid AVG aan de hand van de specifieke omstandigheden uitleg vergt, maakt niet dat een bestuurlijke boete die voor overtreding van deze bepaling wordt opgelegd, in strijd is met het lex certa-beginsel. Wat betreft de overtreding die ziet op de bereikbaarheid van het formulier voor inzageverzoeken is naar het oordeel van de AP evenmin strijd met het lex certa-beginsel. Gelet op de tekst van artikel 12, tweede lid, van de AVG dient de verwerkingsverantwoordelijke de uitoefening van het recht van een betrokkene op inzage in diens persoonsgegevens te faciliteren. Deze norm is naar het oordeel van de AP voldoende duidelijk, in die zin dat maatregelen van een verwerkingsverantwoordelijke die drempels opwerpen voor de uitoefening van dat recht hiermee in strijd zijn. Door de combinatie van het aantal te doorlopen stappen en de bewoording ervan werpt Uber een dermate hoge drempel op voor betrokkenen, dat Uber haar chauffeurs daarmee onvoldoende faciliteert.

5.1.3 Gelegenheid tot geven zienswijze

Ten aanzien van het standpunt van Uber dat zij ten onrechte niet in de gelegenheid is gesteld om een zienswijze naar voren te brengen op de hoogte van de boete, de ernst en de omvang van de geconstateerde overtredingen en de uiteindelijke onderbouwing overweegt de AP het volgende. Artikel 4:8 noch artikel 5:50 Awb (gelezen in samenhang met artikel 5:48 en 5:53 Awb) noch enige andere bepaling verplicht de AP om zich bij het voornemen tot het opleggen van een bestuurlijke boete al uit te laten over deze aspecten.28 Uber is dus niet ten onrechte niet in de gelegenheid gesteld hierop haar zienswijze te geven. Hetgeen in de zienswijze is vermeld, kan bijdragen aan de beslissing van de AP om over te gaan tot

26 Uitspraak van 26 oktober 2022, ECLI:NL:RVS:2022:3077. 27 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, paragraaf 11 28 CBb 7 mei 2019, ECLI:NL:CBB:2019:177

16/23

het opleggen van een bestuurlijke boete, waarna de AP aan de hand van alle op dat moment bij haar bekende relevante feiten en omstandigheden de boetehoogte bepaalt. Om deze reden heeft de AP zich in haar voornemen niet uitgelaten over de door Uber genoemde aspecten.

5.2 Systematiek bepalen boetehoogte

De EDPB heeft in de plenaire vergadering van 24 mei 2023 ingestemd met het aannemen van de Guidelines 04/2022 on the calculation of administrative fines under the GDPR (hierna: de Richtsnoeren).29 De Richtsnoeren zijn direct van toepassing, omdat deze niet voorzien in overgangsrecht voor procedures die al liepen op het moment van instemming met de Richtsnoeren. De AP zal deze Richtsnoeren dan ook toepassen op deze zaak.30

De Richtsnoeren beschrijven een methodiek waarbij achtereenvolgens wordt bezien:

1. welke en hoeveel handelingen en inbreuken ter beoordeling voorliggen; 2. welk startbedrag het uitgangspunt vormt bij de berekening van de boete hiervoor; 3. of zich verzachtende of verzwarende omstandigheden voordoen die nopen tot aanpassing van het bedrag uit stap 2; 4. welke maximumbedragen gelden voor de overtredingen en of eventuele verhogingen uit de vorige stap dit bedrag niet te boven gaan; 5. of het uiteindelijke bedrag van de berekende boete voldoet aan de vereisten van doeltreffendheid, afschrikking en evenredigheid, en zo nodig daaraan wordt aangepast.

Deze stappen worden hierna achtereenvolgens doorlopen.

5.3 Berekening startbedrag

5.3.1 Stap 1: Vaststellen handelingen en bepalen inbreuken

Om het startbedrag van de boete te bepalen, moet zoals in de Richtsnoeren is beschreven allereerst worden bezien of sprake is van één of meerdere sanctioneerbare gedragingen.

De AP heeft hiervoor allereerst geconstateerd dat Uber, in reactie op een inzageverzoek van een betrokkene, geen informatie verstrekte hoe het CSV-bestand kan worden geopend (hoe de informatie uit het verstrekte CSV-bestand gestructureerd kan worden weergegeven). De AP heeft daarnaast geconstateerd dat Uber de informatie over de gegevens in het CSV-bestand (de guidance notes) niet verstrekte in de taal van betrokkenen, maar alleen in het Engels. Zoals hierboven is geconcludeerd, zijn

29 Van de Richtsnoeren is thans geen Nederlandse vertaling beschikbaar. De Richtsnoeren zijn te raadplegen op 30 Zie ook https://www.autoriteitpersoonsgegevens.nl/actueel/nieuw-boetebeleid-voor-overtredingen-avg.

17/23

beide punten in strijd met de verplichting die op Uber rust om de betrokkene in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te informeren, neergelegd in artikel 12, eerste lid, van de AVG. Daarnaast heeft de AP ook een overtreding vastgesteld van het tweede lid van artikel 12, namelijk doordat het digitale formulier waarmee chauffeurs hun recht op inzage en gegevensoverdraagbaarheid kunnen uitoefenen, niet gemakkelijk genoeg bereikbaar is in de chauffeurs-app.

De AP heeft verder geconstateerd dat de privacyverklaring van Uber op drie punten tekortschoot: i) de door Uber verstrekte informatie over bewaartermijnen was te algemeen van aard om betrokkenen in staat te stellen om de bewaartermijnen voor hun persoonsgegevens te bepalen; ii) de informatie maakte geen gewag van de verschillende waarborgen van toepassing op internationale doorgifte van persoonsgegevens; en iii) het recht op gegevensoverdraagbaarheid werd niet separaat en uitdrukkelijk genoemd. Deze punten zijn in strijd met artikel 13, eerste lid, aanhef en onder f, en tweede lid, aanhef en onder a en b, van de AVG.

Naar het oordeel van de AP gaat het in dit geval om twee van elkaar te onderscheiden sanctioneerbare gedragingen (“plurality of action”). Daarbij neemt de AP ten eerste in aanmerking dat de gedragingen op een verschillend moment in tijd plaatsvinden. Het hanteren van een ontoereikende privacyverklaring vindt na publicatie ervan doorlopend plaats, terwijl de informatie in reactie op een inlichtingenverzoek pas wordt verstrekt nadat een chauffeur een inzageverzoek heeft gedaan. Ten tweede geldt dat de gedragingen zich niet noodzakelijkerwijs richten tot dezelfde groep betrokkenen. Niet elke chauffeur die de privacyverklaring raadpleegt, doet immers eveneens een inzageverzoek en andersom. Ten derde (en tenslotte) neemt de AP in aanmerking dat de overtredingen los van elkaar kunnen bestaan en geen oorzakelijk verband met elkaar houden. Dat zij thans tezamen in één besluit worden behandeld, komt doordat zij tegelijkertijd onder de aandacht van de AP zijn gekomen.

Nu Uber van elkaar te onderscheiden sanctioneerbare gedragingen heeft begaan, kunnen beide gedragingen afzonderlijk worden beboet. De bedragen in de navolgende stappen dienen dan ook voor beide inbreuken te worden bepaald.

5.3.2 Stap 2: Bepalen startbedrag

Zoals in de Richtsnoeren is beschreven, dient vervolgens het startbedrag van de boetehoogte te worden bepaald. Dit startbedrag vormt het uitgangspunt voor de verdere berekening in latere stappen, waarbij alle relevante feiten en omstandigheden in aanmerking worden genomen. In de Richtsnoeren is vermeld dat het startbedrag wordt bepaald aan de hand van drie elementen: i) de categorisatie van de inbreuken volgens artikel 83, vierde tot en met zesde lid, van de AVG; ii) de ernst van de inbreuk en iii) de omzet van de onderneming. Hierna wordt ingegaan op alle drie de elementen.

Ad i) Categorisatie van de inbreuken volgens artikel 83, vierde tot en met zesde lid, van de AVG

Zoals vermeld in de Richtsnoeren, zijn vrijwel alle verplichtingen van de verwerkingsverantwoordelijke gecategoriseerd in de bepalingen van artikel 83, vierde tot en met zesde lid, van de AVG. De AVG maakt

18/23

onderscheid tussen twee soorten inbreuken. Enerzijds de inbreuken die sanctioneerbaar zijn op grond van artikel 83, vierde lid, van de AVG en waarvoor een maximumboete geldt van € 10 miljoen (of in geval van een onderneming, 2% van de jaaromzet, indien dat hoger is), anderzijds de inbreuken die sanctioneerbaar zijn op grond van artikel 83, vijfde en zesde lid, van de AVG en waarvoor een maximumboete geldt van € 20 miljoen (of in geval van een onderneming, 4% van de jaaromzet, indien dat hoger is). Met dit onderscheid heeft de wetgever voorzien in een eerste indicatie in abstracto van de ernst van de inbreuk: hoe ernstiger de inbreuk, hoe hoger de boete.

Voor de thans voorliggende overtredingen van artikel 12, eerste en tweede lid, artikel 13, tweede lid, aanhef en onder a, artikel 13, eerste lid, aanhef en onder f, en artikel 13, tweede lid, aanhef en onder b, AVG kan een bestuurlijke boete worden opgelegd van maximaal € 20.000.000,00 (of in geval van een onderneming, 4% van de wereldwijde jaaromzet, indien dat hoger is). Uit deze categorisering volgt dat de inbreuken van deze bepalingen door de wetgever als ernstig worden gezien.

Ad ii) Ernst van de inbreuken

Ter bepaling van de ernst van de inbreuk moet op grond van de Richtsnoeren31 rekening worden gehouden met de aard, ernst en duur van de overtreding, alsmede met de opzettelijke of nalatige aard van de inbreuk en de categorieën betrokken persoonsgegevens.

Met betrekking tot de aard van de overtredingen merkt de AP op dat de verwerkingsverantwoordelijke de betrokkene de informatie dient te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt.32 Het recht op inzage is, evenals het recht om begrijpelijke en gemakkelijk toegankelijke informatie over de verwerking van persoonsgegevens te ontvangen, noodzakelijk om betrokkenen in staat te stellen om hun andere rechten op grond van de AVG uit te oefenen. Het verstrekken van transparante informatie in de zin van artikel 12, eerste lid, AVG is reeds om die reden van groot belang. Wanneer de rechten van betrokkenen niet worden nageleefd, raakt dit het recht dat betrokkenen hebben op de eerbiediging van hun persoonlijke levenssfeer en de bescherming van hun persoonsgegevens. Het recht op inzage en het recht om begrijpelijke en gemakkelijk toegankelijke informatie over de verwerking van persoonsgegevens te ontvangen kunnen daarnaast voor betrokkenen van belang zijn bij het opkomen voor of uitoefenen van andere rechten dan die op grond van de AVG, bijvoorbeeld in civiele procedures. Ook daarom is het belangrijk dat betrokkenen van voornoemde rechten op grond van de AVG gebruik kunnen maken en dat daarvoor geen onredelijke drempels worden opgeworpen.

Bij de beoordeling van de zwaarte van de overtredingen weegt allereerst het aantal (mogelijke) betrokkenen mee. Het is de AP bekend dat in de periode van de overtredingen ongeveer 120.000 Uber-chauffeurs actief waren in Europa.

31 Guidelines 04/2022 on the calculation of administrative fines under the GDPR. 32 Overweging 60 bij de AVG.

19/23

Ten tweede betrekt de AP bij de beoordeling van de zwaarte van de overtreding dat Uber weliswaar de hierboven vermelde overtredingen van de AVG heeft begaan, maar dat het niet zo is dat Uber op geen enkele wijze gevolg heeft gegeven aan haar verplichtingen op grond van artikel 12, eerste en tweede lid, artikel 13, tweede lid, aanhef en onder a, artikel 13, eerste lid, aanhef en onder f, en artikel 13, tweede lid, aanhef en onder b, AVG. Zo heeft Uber betrokkenen in haar privacyverklaring weliswaar niet volledig geïnformeerd over de bewaartermijnen, maar heeft Uber hierover wel enige informatie verstrekt. Hetzelfde geldt voor de informatie over doorgifte in de privacyverklaring: hoewel de AP in dit verband een overtreding heeft geconstateerd, kan niet worden gezegd dat Uber in het geheel heeft nagelaten om over doorgifte te informeren. Ten aanzien van de reactie van Uber op een inzageverzoek is niet vastgesteld dat in het geheel niet aan de vereisten van artikel 12, eerste lid, AVG is voldaan, maar beperkt de overtreding zich tot de taal van de guidance notes en de toegankelijkheid van de CSV-bestanden. Voor zowel de taal van de guidance notes als de toegankelijkheid van de CSV-bestanden geldt daarnaast dat deze overtreding niet voor iedere chauffeur die om inzage heeft verzocht, daadwerkelijk gevolgen zal hebben. De Engelse taal van de guidance notes zal immers niet voor iedere chauffeur leiden tot minder of geen begrip van de inhoud, zo zijn er ook enkele lidstaten waar Engels de voertaal is. Daarnaast zullen er ook chauffeurs zijn bij wie de CSV-bestanden wel automatisch in tabelvorm openen. Voorts is de AP niet gebleken dat de overtredingen (substantiële) schade voor betrokkenen tot gevolg hebben gehad. Verder geldt voor de overtreding van artikel 12, tweede lid, van de AVG dat het niet zo is dat Uber het betrokkenen in het geheel onmogelijk heeft gemaakt om hun recht op inzage en gegevensoverdraagbaarheid uit te oefenen. Naar het oordeel van de AP is sprake van nalatigheid bij het begaan van de overtredingen. 33 De AP weegt dat element als “neutraal” mee. Met betrekking tot de categorieën van betrokken persoonsgegevens betrekt de AP dat is vastgesteld dat sprake is van de van de verwerking van locatiegegevens, dit zijn persoonsgegevens van gevoelige aard. Verder neemt de AP in aanmerking dat het voor Uber een uitdaging zal kunnen zijn om uitgebreide informatie over de rechten van betrokkenen te verstrekken op een wijze die begrijpelijk is voor betrokkenen, wat compromissen met zich brengt om te beoordelen hoe de informatie het beste kan worden weergegeven. Ook blijkt uit het onderzoek en de tijdens de zienswijzefase door Uber verstrekte informatie dat Uber veel maatregelen heeft genomen om de procedures voor betrokkenen te verbeteren en te blijven verbeteren.

De duur van de overtredingen is hierboven voor een aanzienlijke periode vastgesteld, namelijk de periode van 25 mei 2018 tot 17 februari 2022, 29 juni 2022 en 3 november 2022.

Ad iii) Omzet van de onderneming

De Richtsnoeren schrijven voor dat uit oogpunt van billijkheid het startbedrag van de boete moet worden gerelateerd aan de grootte van de onderneming. De grootte van de onderneming wordt bepaald aan de hand van de omzet. Zo wordt voor een kleine onderneming, met een omzet van maximaal € 2 miljoen, het startbedrag in de regel beperkt tot 0,2 tot 0,4% van het eigenlijke startbedrag, en neemt het startbedrag toe naar mate de omzet van de onderneming toeneemt. Indien een onderneming een omzet heeft van meer dan € 500 miljoen, geldt dat de boetehoogte wordt bepaald op een percentage van de jaaromzet van de

33 Zie in dit verband onder meer HvJ EU 4 mei 2023,ECLI:EU:C:2023:376.

20/23

onderneming.34 Hierdoor is de grootte en omzet van de onderneming reeds verdisconteerd in de hoogte van de boete, zodat het startbedrag geen aanpassing op die grond behoeft.

Zoals vermeld in overweging 150 van de AVG, moet bij het opleggen van een boete aan een onderneming de “onderneming” worden gezien als een onderneming overeenkomstig de artikelen 101 en 102 van het Verdrag betreffende de werking van de Europese Unie. Uit vaste jurisprudentie van het Hof van Justitie van de Europese Unie volgt dat een onderneming “elke eenheid is die een economische activiteit uitoefent, ongeacht haar rechtsvorm en de wijze waarop zij wordt gefinancierd.” Het gaat dus om de economische eenheid van de onderneming en niet om de juridische entiteiten daarbinnen. Verschillende vennootschappen of entiteiten binnen dezelfde economische eenheid kunnen dus samen een onderneming zijn in de zin van voormelde bepalingen.

Uber B.V. is indirect een volle dochteronderneming van Uber Technologies Inc. Zij moeten daarom voor de toepassing van artikel 83 van de AVG tot dezelfde onderneming worden gerekend.

Zoals vermeld in de Richtsnoeren, kan de omzet worden bepaald aan de hand van de jaarstukken van de onderneming over het voorgaande boekjaar. Op grond van artikel 83, vierde tot en met zesde lid, van de AVG wordt de wereldwijde omzet in het voorgaande boekjaar in aanmerking genomen. Gezien dit besluit in 2023 is genomen, wordt boekjaar 2022 aangehouden.

Uber Technologies Inc. heeft de jaarstukken over 2022 op haar website gepubliceerd.35 Op pagina 74 is een geconsolideerd overzicht van de onderneming opgenomen. Daaruit valt op te maken dat de wereldwijde omzet van de onderneming over 2022 $ 31,877 miljard bedraagt. Dat komt overeen met € 29,750 miljard.36

Bepalen startbedrag

Op grond van artikel 83, vijfde lid, van de AVG bedraagt het boetemaximum 4% van de jaaromzet. De jaaromzet bedraagt, zoals vermeld, € 29,750 miljard, zodat het boetemaximum voor elk van de overtredingen € 1,19 miljard bedraagt.

Gelet op hetgeen onder i) en ii) is overwogen, stelt de AP zich op het standpunt dat het niveau van ernst van de inbreuken moet worden gekwalificeerd als “laag”. Volgens de Richtsnoeren geldt voor inbreuken met een laag niveau van ernst, dat het startbedrag dient te worden bepaald op een punt tussen 0 en 10% van het boetemaximum. Daarbij geldt als algemene regel dat hoe ernstiger de inbreuk binnen zijn eigen categorie is, hoe hoger het startbedrag zal zijn. De AP is van oordeel dat, gelet op de omschreven omstandigheden, de betrokken inbreuken op zichzelf van geringe ernst zijn. Het uitgangspunt voor de berekening van de boete moet derhalve relatief laag zijn ten

34 Vanaf een jaaromzet van € 500 miljoen geldt dat 4% van de jaaromzet hoger is dan € 20 miljoen, zodat dit percentage als boetemaximum in aanmerking moet worden genomen (artikel 83, vijfde lid, aanhef, van de AVG). 35 Te raadplegen via . 36 De door de ECB bepaalde wisselkoers op de dag van dit besluit bedraagt € 0,9333 per US dollar (vergelijk ).

21/23

opzichte van het startbedrag. Al het voorgaande in aanmerking genomen, stelt de AP het startbedrag in dit geval vast op € 5 miljoen voor elk van de overtredingen (€ 10 miljoen in totaal). Dat komt overeen met 0,42% van het toepasselijke boetemaximum.

5.4 Beoordeling verzachtende of verzwarende omstandigheden

5.4.1 Stap 3: Beoordelen relevante omstandigheden

Zoals vermeld in de Richtsnoeren, dient vervolgens te worden bezien of in de omstandigheden van het geval aanleiding wordt gevonden om de boete hoger of lager vast te stellen dan het hiervoor bepaalde startbedrag. De in aanmerking te nemen omstandigheden zijn vermeld in artikel 83, tweede lid, aanhef en onder a tot en met k, van de AVG. De in die bepaling vermelde omstandigheden moeten elk slechts eenmaal worden bezien. In de vorige stap is reeds rekening gehouden met de aard, zwaarte en duur van de overtreding (onderdeel a), de opzettelijke of nalatige aard van de inbreuk (onderdeel b) en de categorieën van persoonsgegevens (onderdeel g). Daardoor resteren nog de onderdelen c tot en met f en h tot en met k.

De enige van toepassing zijnde omstandigheid is de wijze waarop de AP kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke de inbreuk heeft gemeld (onderdeel h). In dit geval heeft Uber de inbreuken niet zelf gemeld, maar zijn deze door klachten ter kennis van de AP gekomen. Dit wordt volgens de Richtsnoeren echter beoordeeld als “neutraal” en heeft daarom geen gevolgen voor de hoogte van de op te leggen boete.

De overige omstandigheden missen in dit geval toepassing omdat de omstandigheden waarnaar zij verwijzen zich in dit geval niet voordoen.

5.5 Bepalen boetehoogte

In paragraaf 5.3.2 is een startbedrag bepaald van € 5 miljoen voor elk van de overtredingen. In paragraaf 5.4.1 is geconcludeerd dat de enige omstandigheid die verder in aanmerking kan worden genomen, als neutraal moet worden beoordeeld. Conclusie is dan ook dat de boete moet worden vastgesteld op € 5 miljoen voor elk van de twee overtredingen (€ 10 miljoen in totaal).

5.5.1 Stap 4: Controle overschrijding voor de inbreuken geldende maximumbedragen

Zoals vermeld, geldt – ook gelet op de omzet van Uber – voor de geconstateerde overtredingen een maximum boetehoogte van 4% van de wereldwijde jaaromzet van de onderneming. Gelet op de omzet van Uber (€ 29,750 miljard) is het wettelijk maximum van de op te leggen boete derhalve € 1,19 miljard per overtreding.

22/23

Hierboven is het boetebedrag voor de geconstateerde overtredingen bepaald op € 5 miljoen per overtreding. Dit ligt ruimschoots onder het wettelijk maximum zodat zich geen overschrijding daarvan voordoet.

5.5.2 Stap 5: Beoordeling vereisten van doeltreffendheid, evenredigheid en afschrikking

Tot slot beoordeelt de AP of de boete doeltreffend, evenredig en afschrikkend is. Op grond van artikel 49, derde lid, van het Handvest van de grondrechten van de EU en de artikelen 3:4 en 5:46, tweede lid, van de Awb mag de bestuurlijke boete, gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leiden.

Op grond van artikel 83, vijfde lid, aanhef en onder b, AVG kan de AP voor de hierboven beschreven overtredingen een bestuurlijke boete opleggen. Zoals in de Richtsnoeren omschreven, kan het opleggen van een boete als doeltreffend worden beschouwd als deze het doel bereikt waarvoor deze is opgelegd. Dat doel kan zijn gelegen in enerzijds het bestraffen van onrechtmatige gedragingen en anderzijds het bevorderen van naleving van de geldende voorschriften. Gelet op de aard, ernst en de duur van de inbreuk, alsmede de overige factoren uit artikel 83, tweede lid, AVG zoals beoordeeld in de paragrafen 5.3.2 en 5.4 van dit besluit, is de AP van oordeel dat het opleggen van een bestuurlijke boete onder deze omstandigheden beide doelen bereikt en derhalve doeltreffend en afschrikkend is. De hoogte van de bestuurlijke boete, die mede is bepaald aan de hand van de omzet van Uber, acht de AP eveneens doeltreffend en afschrikkend.

De AP acht de boete gelet op de ernst van de overtreding en de omvang van de onderneming evenredig. Uber heeft in haar zienswijze aangegeven dat het opleggen van een maatregel tot onevenredige gevolgen leidt voor Uber, omdat Uber constant bezig is met het verbeteren van haar diensten en zich altijd bereid heeft getoond om met de AP samen te werken. De AP ziet in hierin geen aanleiding om de boete onevenredig te achten. Zowel het voldoen aan de bepalingen van de AVG als het verlenen van medewerking aan de AP bij het uitoefenen van haar bevoegdheden zijn immers wettelijk verplicht. Naar het oordeel van de AP hebben zich in dit verband geen dermate bijzondere omstandigheden voorgedaan dat de boete om de door Uber genoemde redenen niet evenredig zou zijn.

23/23

6. Dictum

Boete De AP legt aan Uber B.V. en Uber Technologies Inc. gezamenlijk, wegens overtreding van de artikelen 12, eerste en tweede lid, en artikel 13, eerste lid, aanhef en onder f, en tweede lid, aanhef en onder a en b, van de AVG een bestuurlijke boete op ten bedrage van € 10.000.000,00 (zegge: tien miljoen euro).37

Hoogachtend, Autoriteit Persoonsgegevens,

Mr. A. Wolfsen Voorzitter

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit, kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de Uitvoeringswet AVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Vermeld in uw bezwaarschrift ten minste:

 uw naam en adres;  de datum van uw bezwaarschrift;  het in deze brief genoemde kenmerk (zaaknummer), of voeg een kopie van dit besluit bij;  de reden(en) waarom u het niet eens bent met dit besluit;  uw handtekening.

U kunt het bezwaarschrift digitaal indienen via de website. Ga naar www.autoriteitpersoonsgegevens.nl, en klik onderaan de pagina, onder het kopje “Contact”, op de link “Bezwaar maken tegen een besluit van de AP”. Vanaf daar gebruikt u het formulier “Bezwaarschrift indienen”.

Stuurt u het bezwaarschrift liever per post op? Dan kan dat naar het volgende adres:

Autoriteit Persoonsgegevens Directie Juridische zaken & Wetgevingsadvies, afdeling Bezwaar Postbus 93374 2509 AJ DEN HAAG

37 De AP zal de vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).