Amsterdam Court of Appeal rules in favour of Uber and Ola Cabs' drivers
Locations
The latest legal challenge for disruptive taxi operators concerns their use of drivers' personal data.
On 4 April 2023, the Amsterdam Court of Appeal largely judged in favour of the drivers and found that Uber and Ola violated taxi drivers' rights under the General Data Protection Regulation (GDPR).The drivers appealed the Amsterdam district court's decisions to receive further access to their personal data and receive information about the way in which Uber and Ola take automated decisions about their drivers.
In this article, we will provide more information on the background of the legal proceedings; set out the reasoning of the Court of Appeal; and provide an outlook for the (near) future.
Background to the cases
In total, three legal proceedings were started against Uber and Ola. The first case was about four drivers who were "robo-fired" by Uber, without effective recourse being offered to them.
The second case involved the question whether Uber could rightfully refuse to provide information upon data requests made by six drivers.
The last case involved a similar question but now involved data requests made to Ola by three drivers.
Decisions by the court of first instance
First case
The taxi drivers requested the court of first instance to order Uber to provide access in common electronic form the existence of automated individual decision-making. This includes information about profiling, the underlying logic used of the automated decision-making.
The drivers requested access to this information as this automated decision-making affected them gravely. The court found that Uber had to provide access to personal data of two drivers insofar as their personal data were used to deactivate their accounts.
Second case
The drivers claimed that Uber needed to provide them with access to all personal data relating to them, including Guidance Notes, the Driver's Profile as well as the Tags and Reports about the drivers.
The Court of first instance found that Uber only had to provide access to personal data in relation to the ratings system used by passengers.
Third case
The drivers from Ola requested that Ola were to provide access to personal data relating to them, as well as the existence of automated individual decision-making as well as the relevant underlying logic.
The Court of first instance found that Ola had to provide access:
(i) to the 'rating history and the ratings given by passengers to the drivers;
(ii) personal data used by Ola to establish a risk profile of the drivers – the "fraud probability score"; and
(iii) personal data used by Ola to establish the earning profiles of the drivers and the most important assessment criteria used for the automated individual decision-making.
Decision on appeal
First case
The Court of Appeal found that the article 15(1) sub h GDPR provides data subjects with a right to receive information about the existence of automated individual decision-making – including profiling.
Furthermore, the Court established that the drivers were significantly affected by the automated individual decision-making as they were unable to earn an income without having access to the Uber application.
The decision had other negative consequences, such as taxi drivers losing their permits. One driver's agreement with Uber was terminated as a consequence of the automated decision-making. Uber then failed to bring forward any arguments that human intervention occurred during the process.
The company went on to argue that the decision-making was subject to human interference as some employees located in Krakow were allegedly involved in the decision-making.
However, the Court dismissed this argument as the drivers did not get an opportunity to be heard and Uber did not provide sufficient information about the experience and expertise of those employees.
The Court concluded that Uber did not rightfully reject the requests to access their personal data from three of four drivers as Uber must provide an insight into the factors taken into consideration and used by Uber to take decision about the Uber drivers.
With regard to the fourth driver, the Court stated the driver did not sufficiently substantiate his claim.
Second case
The Court found that Uber had to provide access to the following personal data:
(i) driver's profiles;
(ii) the tags;
(iii) reports per journey;
(iv) individual ratings;
(v) upfront pricing-system;
(vi) information regarding recipients of personal data;
(vii) a category from the Guidance note; and
(viii) information regarding automated individual decision-making.
With regard to the driver's profiles, the Court stated that the information included in these profiles is to be regarded as personal data in the light of the Nowak judgment of the Court of Justice of the European Union.
The profiles contained information about communications between the drivers and Uber's customer service. With regard to the reports and individual ratings the Court concluded that although the information contained in those reports and individual ratings is relevant to the drivers, Uber rightfully anonymised information revealing the identity of Uber users as the right of access may not impede the right to data protection of other individuals.
Of further importance is that information about the upfront pricing system must be disclosed to the drivers, as Uber does not have an objective reason to refrain to dismiss the access requests.
With regard to information that relates to the recipients of personal data, Uber failed to mention the lawful ground for non-disclosure as those restrictions are explicitly mentioned in article 23 GDPR and article 41 Dutch Implementation Act GDPR.
Again, the Court found that Uber also had to provide information relating to the individual automated decision-making as the data subjects were significantly affected by the decisions and Uber failed to show that human intervention took place.
Uber tried to base its non-disclosure on article 15(4) GDPR, but the Court explicitly stated that this exception only relates to a controller providing copies of processed personal data to data subjects as included in article 15(3) GDPR.
It was also not possible for Uber to refrain from disclosure based on the protection of trade secrets as this argument was disproportionate given the adverse effects of the decisions on the drivers.
Again, Uber must provide the drivers with information on the basis of what factors and what weighting of those factors Uber arrives at the ride-sharing decisions, fare decisions and the average ratings together with all other information necessary to understand the reasoning behind the decisions.
Third case
The Court investigated whether the data access requests fell within the scope of article 15 GDPR and if Ola had any objective justifications not to provide access. It went on to state that Ola has to provide information about the ratings of the drivers but only for as long as the users whom gave the ratings cannot be identified.
However, the GPS-data of the drivers must be communicated to them, as Ola did not substantiate why it could refrain from providing access to this information. It is unlikely that providing access would harm the rights and freedoms of Ola customers.
Again, the Court refers to the Nowak judgment of the Court of Justice of the European Union and concludes that Ola must provide access to device data as well as information about the fraud probability score. These two categories qualify as personal data within the meaning of the GDPR.
Furthermore, Ola Cabs must provide information about the information that it used to make automated decisions with regard to the fraud probability scores of drivers as well as the decisions made about worker earning profiles used for fares and work collection.
What next?
The abovementioned cases fit the pattern of the ever growing amount of case law relating to the GDPR and in this regard specifically to the right of access in article 15 GDPR.
These cases provide an insight into what information must be shared with a data subject if a controller subjects data subjects to automated individual decision-making.
Controllers would be wise not to simply hide behind trade secret protection, as they need to demonstrate that the right of access poses actual risks to their trade secrets.
Later this year, we expect a decision from the Court of Justice of the European Union about article 15(3) GDPR and what must be understood as a copy of personal data and whether there is a right to receive complete documents.
To be continued…
Please click the following links to read the cases (Only available in Dutch)
First decision on data transparency and automated decision making (Uber)
Second decision on data transparency and automated decision-making (Uber)
Third decision on data transparency and automated decision-making (Ola Cabs)
Dutch
Gerechtshof Amsterdam stelt chauffeurs van Uber en Ola Cabs in het gelijkOp 4 april 2023 heeft het Gerechtshof Amsterdam de chauffeurs grotendeels in het gelijk gesteld en geoordeeld dat Uber en Ola de rechten van taxichauffeurs onder de Algemene Verordening Gegevensbescherming ("AVG") hebben geschonden. De chauffeurs gingen in hoger beroep tegen de uitspraken van de Amsterdamse rechtbank om inzage te krijgen over hoe Uber en Ola omgaan met hun persoonsgegevens. Daarnaast wilden de chauffeurs informatie verkrijgen over de wijze waarop Uber en Ola geautomatiseerde beslissingen nemen.
Allereerst geven wij meer informatie over de achtergrond van de gerechtelijke procedures. Vervolgens zetten we de redenering van het Gerechtshof Amsterdam uiteen en ten slotte geven we een vooruitblik op de (nabije) toekomst.
Achtergrond
In totaal zijn er drie procedures gestart tegen Uber en Ola door enkele chauffeurs over gegevensverwerking door Uber. De eerste procedure ging over vier chauffeurs die door Uber robo-fired werden, zonder dat een mogelijkheid hadden om bezwaar te maken. De tweede procedure ging over de vraag of Uber terecht mocht weigeren informatie te verstrekken bij een verzoek tot inzage van zes chauffeurs. In de laatste procedure ging het om een vergelijkbare vraag, maar nu om verzoeken tot inzage van drie chauffeurs aan Ola.
Procedure bij de rechtbank
Eerste procedure
De taxichauffeurs wilden in eerste aanleg Uber zover krijgen om in toegankelijke elektronische vorm informatie te verstrekken over het bestaan van geautomatiseerde individuele besluitvorming. Deze informatieverzoeken zagen ook op mogelijke profilering en alle overige nuttige informatie over de onderliggende logica van de geautomatiseerde besluitvorming vanwege de nadelige gevolgen voor de chauffeurs. De rechtbank oordeelde dat Uber twee chauffeurs toegang tot persoonsgegevens moest verlenen voor zover hun persoonsgegevens werden gebruikt om hun chauffeur accounts te deactiveren.
Tweede procedure
In deze procedure stelden de chauffeurs dat Uber toegang moest verlenen tot alle op hen betrekking hebbende persoonsgegevens, met inbegrip van de richtsnoeren, het profiel van de chauffeur en de tags en rapporten over de chauffeurs. De rechtbank oordeelde dat Uber alleen inzage moest verlenen in de persoonsgegevens die verband hielden met het door passagiers gebruikte beoordelingssysteem.
Derde procedure
De Ola chauffeurs wilden inzage in de verwerkingen van hun persoonsgegevens en daarnaast ook informatie over de geautomatiseerde individuele besluitvorming waarvan Ola gebruikmaakte. De rechtbank oordeelde dat Ola toegang moest verlenen tot (i) de "beoordelingsgeschiedenis en de beoordelingen die passagiers aan de chauffeurs geven, (ii) persoonsgegevens die door Ola worden gebruikt om een risicoprofiel van de chauffeurs vast te stellen - de "fraudewaarschijnlijkheidsscore", en (iii) persoonsgegevens die door Ola worden gebruikt om de verdienprofielen van de chauffeurs en de belangrijkste beoordelingscriteria voor de geautomatiseerde individuele besluitvorming vast te stellen.
Hoger beroep
Eerste procedure
Het gerechtshof oordeelde dat artikel 15, lid 1, sub h AVG aan betrokkenen informatie dienen te verkrijgen over het bestaan van geautomatiseerde individuele besluitvorming - waaronder profilering. Bovendien stelde het gerechtshof vast dat de chauffeurs aanzienlijke gevolgen ondervonden van de geautomatiseerde individuele besluitvorming, aangezien zij geen inkomen konden verdienen zonder toegang te hebben tot de Uber-applicatie en de beslissing ook andere gevolgen had, zoals het mogelijke verlies van hun taxivergunningen. De overeenkomst van één aanvrager met Uber werd als gevolg van de geautomatiseerde besluitvorming beëindigd. Uber heeft vervolgens geen argumenten aangevoerd dat tijdens het proces menselijke interventie heeft plaatsgevonden. Volgens Uber was wel sprake van menselijke tussenkomst, omdat enkele in Krakau gevestigde werknemers bij de besluitvorming betrokken waren. Het gerechtshof verwerpt dit argument echter omdat de Uber-chauffeurs niet de kans hebben gekregen om te worden gehoord en Uber geen informatie heeft verstrekt over de ervaring en deskundigheid van haar werknemers in Krakau. Vervolgens concludeert het gerechtshof dat Uber de verzoeken om toegang tot hun persoonsgegevens van drie van de vier chauffeurs niet terecht heeft afgewezen, aangezien Uber inzicht moet geven in de factoren die Uber in aanmerking heeft genomen en heeft gebruikt om beslissingen over de Uber-chauffeurs te nemen. Ten aanzien van de vierde chauffeur stelt het gerechtshof dat deze zijn vordering onvoldoende heeft onderbouwd.
Tweede procedure
In deze procedure oordeelde het Gerechtshof Amsterdam dat Uber toegang moest verlenen tot de volgende persoonsgegevens:
(i) de profielen van de chauffeurs,
(ii) de tags,
(iii) rapporten per rit,
(iv) individuele beoordelingen,
(v) upfront pricing-systeem,
(vi) informatie betreffende de ontvangers van persoonsgegevens,
(vii) een categorie uit de Richtsnoeren en
(viii) informatie betreffende geautomatiseerde individuele besluitvorming.
Met betrekking tot de profielen van de chauffeur verklaarde het gerechtshof dat de informatie in deze profielen moet worden beschouwd als persoonsgegevens in de zin van het arrest Nowak van het Hof van Justitie van de Europese Unie. De profielen bevatten informatie over de communicatie tussen de chauffeurs en de klantenservice van Uber. Met betrekking tot de rapporten en individuele beoordelingen concludeert het gerechtshof dat, hoewel de informatie in die rapporten en individuele beoordelingen relevant is voor de chauffeurs, Uber terecht informatie die de identiteit van Uber-gebruikers onthult, heeft geanonimiseerd, aangezien het recht op inzage niet het recht op gegevensbescherming van andere personen mag belemmeren. Van belang is ook dat informatie over het upfront pricing-systeem aan de chauffeurs bekend moet worden gemaakt, aangezien Uber geen objectieve reden heeft om af te zien van de verzoeken om toegang. Met betrekking tot informatie die betrekking heeft op de ontvangers van persoonsgegevens, heeft Uber nagelaten de rechtsgrond voor niet-openbaarmaking te vermelden, aangezien deze rechtsgronden zijn opgenomen in artikel 23 AVG en artikel 41 Uitvoeringswet AVG.
Ook in deze procedure oordeelde het gerechtshof dat Uber informatie moest verstrekken over de individuele geautomatiseerde besluitvorming, aangezien de betrokkenen aanzienlijke gevolgen ondervonden van de besluiten en Uber niet kon aantonen dat er sprake was van menselijk ingrijpen. Uber probeerde zijn niet-openbaarmaking te baseren op de uitzondering waarin artikel 15, lid 4, AVG voorziet, maar het gerechtshof stelde uitdrukkelijk dat deze uitzondering alleen betrekking heeft op een verwerkingsverantwoordelijke die kopieën van verwerkte persoonsgegevens verstrekt aan betrokkenen, zoals bedoeld in artikel 15, lid 3, AVG. Uber kon ook niet afzien van openbaarmaking op basis van de bescherming van bedrijfsgeheimen aangezien dit argument onevenredig was gezien de negatieve gevolgen van de beslissingen voor haar chauffeurs. Uber moet wederom de chauffeurs informatie verstrekken op basis van welke factoren en de weging van deze factoren op basis waarvan Uber beslissingen neemt. Deze beslissingen zien op het delen van ritten, de tarieven en de gemiddelde beoordelingen. Daarnaast moet Uber alle andere informatie verstrekken zodat de chauffeurs de redeneringen achter de beslissingen begrijpen.
Derde procedure
In de derde procedure onderzocht het hof of de eerdergenoemde categorieën persoonsgegevens binnen de werkingssfeer van artikel 15 AVG vielen en of Ola objectieve redenen had om de persoonsgegevens niet te verstrekken. Ola moet informatie verstrekken over de beoordelingen van de chauffeurs, maar alleen zolang de gebruikers die de beoordelingen hebben gegeven niet kunnen worden geïdentificeerd. De GPS-gegevens van de chauffeurs moeten echter aan hen worden meegedeeld aangezien Ola niet heeft gemotiveerd waarom het kon afzien van het verstrekken van toegang tot deze informatie. Het was volgens het gerechtshof onwaarschijnlijk dat het verstrekken van toegang de rechten en vrijheden van Ola-klanten zou schaden, zoals vermeld in artikel 15, lid 4, AVG. Apparaatgegevens en informatie over de fraudescore moeten ook aan de chauffeurs worden verstrekt, aangezien deze informatie als persoonsgegevens kan worden aangemerkt. Opnieuw verwijst het gerechtshof naar het arrest Nowak van het Hof van Justitie van de Europese Unie. Ola moet inzage verstrekken in de informatie die het heeft gebruikt om geautomatiseerde beslissingen te nemen met betrekking tot de fraudescores van chauffeurs en de beslissingen die zijn genomen over de verdienprofielen van werknemers. Deze profielen worden door Ola gebruikt voor het innen van tarieven en werk.
Vooruitblik
Bovengenoemde arresten passen in het patroon van toenemende jurisprudentie over de AVG. Vooral met betrekking tot de reikwijdte van artikel 15 AVG. Deze zaken geven inzicht in welke informatie met een betrokkene moet worden gedeeld als een verwerkingsverantwoordelijke gebruik maakt van geautomatiseerde individuele besluitvorming. Verwerkingsverantwoordelijken doen er verstandig aan om zich niet zomaar te verschuilen achter de bescherming van bedrijfsgeheimen, omdat zij moeten kunnen aantonen dat het recht op inzage daadwerkelijke risico's opwerpt voor hun bedrijfsgeheimen.
Overigens verwachten we later dit jaar een arrest van het Hof van Justitie van de Europese Unie over artikel 15 lid 3 AVG en wat onder een kopie van persoonsgegevens moet worden verstaan en of er een recht is om volledige documenten te ontvangen. Wordt vervolgd…
Klik op de volgende links om de arresten te lezen:
De eerste procedure (Uber)
De tweede procedure (Uber)
De derde procedure (Ola)