Włoski organ właściwy do spraw ochrony danych osobowych (Garante per la protezione dei dati personali) nałożył karę na spółkę Deliveroo Italy s.r.l. – właściciela platformy cyfrowej Delivero służącej do zamawiania żywności i zakupów.
Kwota robi wrażenie – 2,5 miliona euro (około 11,5 miliona złotych). Regulator zarzucił administratorowi, że ten przetwarzał dane osobowe swoich pracowników z naruszeniem przepisów o ochronie danych osobowych. Co ciekawe, to kolejna kara nałożona w krótkim odstępie czasu przez włoski organ nadzorczy na firmę oferującej tego typu usługi – a co więcej – za podobne naruszenia.
Szczegółowy nadzór
Postępowanie kontrolne przeprowadzone przez włoskiego regulatora wykazało, że spółka wdrożyła narzędzia umożliwiające szczegółowy nadzór nad pracownikami dostarczającymi poszczególne zamówienia. Wykorzystywane przez nich urządzenia mobilne podlegać miały ciągłej geolokalizacji, która znacznie wykraczała poza to, co było konieczne do wykazania odpowiedniej realizacji zamówienia. Organ nadzorczy wskazał, że lokalizacja pracowników spółki aktualizowana była średnio co 12 sekund, a informacje o zrealizowanych trasach oraz komunikacji z poszczególnymi klientami były archiwizowane aż przez 6 miesięcy.
Kara za naruszenie zasad
Organ nadzorczy wskazał w decyzji, że ukarany administrator pozyskał nieproporcjonalną ilość danych osobowych swoich pracowników. W jego ocenie, spółka przetwarzała zgromadzone dane osobowe m.in. w celu automatycznej oceny wydajności pracowników, jak również przydzielania im zadań, wykorzystując w tym celu zawiłe algorytmy. Regulator stwierdził, że takie postępowanie narusza określone w RODO zasady przetwarzania danych osobowych (art. 5 RODO), tj. zasady ograniczenia przechowywania, minimalizacji danych, przejrzystości i zgodności z prawem. Warto zwrócić uwagę, że poza surową karą finansową organ nadzorczy zobowiązał administratora do wdrożenia odpowiednich działań naprawczych, zmierzających do usunięcia stwierdzonych naruszeń.
Cambridge Analytica: Włoski organ nałożył 1 milion euro kary na Facebooka
Kolejna kara za podobne naruszenia
Warto zauważyć, że to nie pierwsza kara nałożona przez włoski organ nadzorczy na przedsiębiorcę zajmującego się dowozem żywności i zakupów. W tym samym miesiącu regulator ukarał bowiem również spółkę Foodinho s.r.l. świadczącą podobne usługi (kara wyniosła 2,6 miliona euro, tj. około 12 milionów złotych). Co dziwi, stwierdzone naruszenia były bardzo podobne. Organ nadzorczy wskazał bowiem w decyzji, że ukarany administrator korzystał z zaawansowanych algorytmów m.in. w celu automatycznej oceny pracowników. Rozwiązania te – zdaniem regulatora – nie były poprawne i przejrzyste, a w konsekwencji naruszały przepisy RODO. Także w tej sprawie włoski organ nadzorczy zobowiązał spółkę do niezwłocznego usunięcia uchybień.
W wyniku tego postępowania organ nadzorczy zainicjował współpracę z hiszpańskim organem właściwym do spraw ochrony danych osobowych (Agencia Española de Protección de Datos) w celu wszczęcia wspólnego postępowania w sprawie spółki powiązanej z Foodinho s.r.l., tj. GlovoApp23 s.l.
Źródła:
Newsletter 2/08/2021 – Data retention: Garante privacy, necessaria una… – Garante Privacy
Rider: Garante privacy, no a discriminazioni basate sugli algoritmi…. – Garante Privacy
Treść decyzji (w języku włoskim):
Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l. – 22 luglio… – Garante Privacy
Ordinanza ingiunzione nei confronti di Foodinho s.r.l. – 10 giugno 2021… – Garante Privacy