Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt leveransföretaget Foodinho s.r.l. med 2.6 miljoner euro för brott mot artiklarna 5.1 (a, c, e), 13, 22.3, 25, 30.1 (a-c, f-g), 32, 35 och 37.7 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Foodinho, som är ett italienskt leveransföretag som erbjuder hemleverans av restaurangmat och andra varor, uppvisat allvarliga överträdelser av tillämpliga dataskyddsbestämmelser. Enligt Garante har Foodinho bland annat:
- Uppvisat brister avseende algoritmerna som använts för Foodinho-systemet.
- Inte informerat anställda tillräckligt om hur Foodinho-systemet fungerar.
- Agerat i strid med principen om uppgiftsminimering genom att Foodinho-systemet behandlat uppgifter om förare på ett sätt som överstigit ändamålet med behandlingen.
- Agerat i strid med principen om lagringsminimering genom att Foodinho-systemet i vissa fall behandlat uppgifterna betydligt längre än nödvändigt.
- Inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säker behandling av personuppgifterna.
- Inte genomfört en konsekvensbedömning avseende dataskydd vilket varit nödvändigt på grund av den stora mängden uppgifter som behandlats avseende ett betydande antal registrerade.
En separat granskning genomförs av den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) mot moderbolaget GlovoApp23.