Italien: Deliveroo bötfälls med 2.5 miljoner euro för brott mot flera bestämmelser i GDPR

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt leveransföretaget Deliveroo Italy s.r.l. med 2.5 miljoner euro för brott mot artiklarna 5.1 (a, c, e), 13, 22.3, 25, 30.1 (c, f-g), 32, 35 och 37.7 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Deliveroo, som är ett italienskt leveransföretag som erbjuder hemleverans av restaurangmat, olagligt behandlat personuppgifter om cirka 8 000 förare. Enligt Garantes har Deliveroo gjort sig skyldig till många och allvarliga överträdelser av bestämmelserna i GDPR. Överträdelserna har bland annat varit bristande transparens i algoritmerna som Deliveroo använde för att hantera bolagets förare.

Garantes utredning visar att Deliveroo har använt ett centraliserat system för förarhantering genom vilket bolaget behandlat och hanterat tilldelning av ordrar samt bokning av arbetspass. Enligt Garante har Deliveroo inte informerat bolagets förare om hur systemet fungerade på ett tillräckligt tydligt sätt. Deliveroo har inte heller säkerställt resultaten av algoritmerna som används för att utvärdera förarna varit korrekta.

Därutöver har Deliveroo genomfört allt för noggranna kontroller av förarnas arbetsprestanda genom att kontinuerligt lokalisera förarans smartphone, vilket enligt Garante varit mer omfattande kontroller än vad som varit nödvändigt för att tilldela förarna en order (förarnas position registrerades var 12:e sekund), samt genom att spara en allt för stor mängd personuppgifter som samlades in under genomförandet av ordrarna, inklusive förarans kommunikation med kundservice. Enligt Garante har Deliveroo inte definierat lagringstiderna för de olika uppgifterna på ett sätt som varit lämpligt för ändamålet. I stället har Deliveroo definierat en platt lagringstid på sex år.

Vidare visade Garante utredning att Deliveroo inte hade implementerat adekvata tekniska och organisatoriska åtgärder för att säkerställa tillräcklig säkerhet vid behandlingen, och inte heller genomfört en konsekvensbedömning avseende dataskydd, trots att detta varit nödvändigt på grund av risken för förarna.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 22 GDPR, art. 25 GDPR, art. 30 GDPR, art. 32 GDPR, art. 35 GDPR, art. 37 GDPR

Sanktionsavgift: 2 500 000 euro

Mottagare: Deliveroo Italy s.r.l.

Beslutsnummer: 9685994

Beslutsdatum: 2021-07-22

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.