GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kosztowny nadzór nad pracownikami

Plik banknotów na tle flagi Włoch

Kosztowny nadzór nad pracownikami

Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na spółkę Deliveroo Italy s.r.l. – właściciela platformy cyfrowej Delivero służącej do zamawiania żywności i zakupów.

Kwota robi wrażenie – 2,5 miliona euro (około 11,5 miliona złotych). Regulator zarzucił administratorowi, że ten przetwarzał dane osobowe swoich pracowników z naruszeniem przepisów o ochronie danych osobowych. Co ciekawe, to kolejna kara nałożona w krótkim odstępie czasu przez włoski organ nadzorczy na firmę oferującej tego typu usługi – a co więcej – za podobne naruszenia.

Szczegółowy nadzór

Postępowanie kontrolne przeprowadzone przez włoskiego regulatora wykazało, że spółka wdrożyła narzędzia umożliwiające szczegółowy nadzór nad pracownikami dostarczającymi poszczególne zamówienia. Wykorzystywane przez nich urządzenia mobilne podlegać miały ciągłej geolokalizacji, która znacznie wykraczała poza to, co było konieczne do wykazania odpowiedniej realizacji zamówienia. Organ nadzorczy wskazał, że lokalizacja pracowników spółki aktualizowana była średnio co 12 sekund, a informacje o zrealizowanych trasach oraz komunikacji z poszczególnymi klientami były archiwizowane aż przez 6 miesięcy.

Kara za naruszenie zasad

Organ nadzorczy wskazał w decyzji, że ukarany administrator pozyskał nieproporcjonalną ilość danych osobowych swoich pracowników. W jego ocenie, spółka przetwarzała zgromadzone dane osobowe m.in. w celu automatycznej oceny wydajności pracowników, jak również przydzielania im zadań, wykorzystując w tym celu zawiłe algorytmy. Regulator stwierdził, że takie postępowanie narusza określone w RODO zasady przetwarzania danych osobowych (art. 5 RODO), tj. zasady ograniczenia przechowywania, minimalizacji danych, przejrzystości i zgodności z prawem. Warto zwrócić uwagę, że poza surową karą finansową organ nadzorczy zobowiązał administratora do wdrożenia odpowiednich działań naprawczych, zmierzających do usunięcia stwierdzonych naruszeń.

Cambridge Analytica: Włoski organ nałożył 1 milion euro kary na Facebooka

Kolejna kara za podobne naruszenia

Warto zauważyć, że to nie pierwsza kara nałożona przez włoski organ nadzorczy na przedsiębiorcę zajmującego się dowozem żywności i zakupów. W tym samym miesiącu regulator ukarał bowiem również spółkę Foodinho s.r.l. świadczącą podobne usługi (kara wyniosła 2,6 miliona euro, tj. około 12 milionów złotych). Co dziwi, stwierdzone naruszenia były bardzo podobne. Organ nadzorczy wskazał bowiem w decyzji, że ukarany administrator korzystał z zaawansowanych algorytmów m.in. w celu automatycznej oceny pracowników. Rozwiązania te – zdaniem regulatora – nie były poprawne i przejrzyste, a w konsekwencji naruszały przepisy RODO. Także w tej sprawie włoski organ nadzorczy zobowiązał spółkę do niezwłocznego usunięcia uchybień.

Surowa kara za telemarketing

W wyniku tego postępowania organ nadzorczy zainicjował współpracę z hiszpańskim organem właściwym do spraw ochrony danych osobowych (Agencia Española de Protección de Datos) w celu wszczęcia wspólnego postępowania w sprawie spółki powiązanej z Foodinho s.r.l., tj. GlovoApp23 s.l.

Sąd zanegował praktyki popularnej pizzerii

Źródła:

Newsletter 2/08/2021 – Data retention: Garante privacy, necessaria una… – Garante Privacy

Rider: Garante privacy, no a discriminazioni basate sugli algoritmi…. – Garante Privacy

Treść decyzji (w języku włoskim):

Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l. – 22 luglio… – Garante Privacy

Ordinanza ingiunzione nei confronti di Foodinho s.r.l. – 10 giugno 2021… – Garante Privacy