Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 2,5 miljoner euro mot leveransföretaget Deliveroo Italy (GDPR).
Av beslutet framgår att Deliveroo, som är ett italienskt leveransföretag som erbjuder hemleverans av restaurangmat, olagligt behandlat personuppgifter om cirka 8 000 förare. Enligt Garantes har Deliveroo gjort sig skyldig till många och allvarliga överträdelser av bestämmelserna i GDPR. Överträdelserna har bland annat varit bristande transparens i algoritmerna som Deliveroo använde för att hantera bolagets förare.
Garantes utredning visar att Deliveroo har använt ett centraliserat system för förarhantering genom vilket bolaget behandlat och hanterat tilldelning av ordrar samt bokning av arbetspass. Enligt Garante har Deliveroo inte informerat bolagets förare om hur systemet fungerade på ett tillräckligt tydligt sätt. Deliveroo har inte heller säkerställt resultaten av algoritmerna som används för att utvärdera förarna varit korrekta.
Därutöver har Deliveroo genomfört allt för noggranna kontroller av förarnas arbetsprestanda genom att kontinuerligt lokalisera förarans smartphone, vilket enligt Garante varit mer omfattande kontroller än vad som varit nödvändigt för att tilldela förarna en order (förarnas position registrerades var 12:e sekund), samt genom att spara en allt för stor mängd personuppgifter som samlades in under genomförandet av ordrarna, inklusive förarans kommunikation med kundservice. Enligt Garante har Deliveroo inte definierat lagringstiderna för de olika uppgifterna på ett sätt som varit lämpligt för ändamålet. I stället har Deliveroo definierat en platt lagringstid på sex år.
Vidare visade Garante utredning att Deliveroo inte hade implementerat adekvata tekniska och organisatoriska åtgärder för att säkerställa tillräcklig säkerhet vid behandlingen, och inte heller genomfört en konsekvensbedömning avseende dataskydd, trots att detta varit nödvändigt på grund av risken för förarna.