Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/7

Kraj:

Włochy

Data wydania decyzji:

13.11.2024 r.

Podmiot kontrolowany:

Foodinho s.r.l.

Wysokość kary (EUR):

5.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), c), d), e), art. 6, art. 9 ust. 2 lit. b), art. 12, art. 13, art. 22 ust. 3, art. 25, art. 28, art. 32, art. 35, art. 88 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło przetwarzania danych osobowych przez Foodinho S.r.l. (Foodinho), spółkę zarządzającą działalnością kurierską za pośrednictwem aplikacji Glovo Couriers. Główne uchybienia obejmowały: brak przejrzystej i adekwatnej informacji dla użytkowników na temat zasad przetwarzania ich danych, automatyczne i błędne wysyłanie powiadomień o dezaktywacji konta zmarłego kuriera, nieprawidłowości w zakresie przechowywania danych geolokalizacyjnych i biometrycznych, niewystarczające zabezpieczenie dostępu do danych kurierów, umożliwiające ich przeglądanie przez osoby spoza kraju, a także wątpliwości dotyczące zgodności z prawem procesów oceny kurierów.

Opis wydarzeń

  1. Wszczęcie postępowania: Kontrola rozpoczęła się po doniesieniach medialnych o automatycznej dezaktywacji konta kuriera, który zginął w wypadku drogowym podczas pracy dla Foodinho S.r.l. W okresie od grudnia 2022 do lipca 2023 przeprowadzono kontrole w siedzibie spółki oraz analizę platformy Glovo Couriers. Stwierdzono liczne nieprawidłowości w zarządzaniu danymi kurierów i poważne braki proceduralne.
  2. Automatyczna dezaktywacja konta: Konto zmarłego kuriera zostało manualnie wyłączone, jednak system automatycznie wysłał do niego wiadomość informującą o dezaktywacji. Incydent został uznany za poważne zaniedbanie i wywołał falę krytyki publicznej.
  3. Braki w polityce prywatności: Stwierdzono, że polityka prywatności dostępna na platformie była nieaktualna, trudno dostępna lub zawierała nieprecyzyjne informacje o przetwarzaniu danych osobowych kurierów.
  4. Niejasne zasady geolokalizacji: Ustalono, że dane o lokalizacji kurierów były przechowywane przez długi czas, a system mógł monitorować ich pozycję nawet poza godzinami pracy, co budziło wątpliwości w zakresie ochrony prywatności.
  5. Stosowanie systemu rozpoznawania twarzy: Proces identyfikacji kurierów poprzez skan twarzy został tymczasowo wstrzymany po wykryciu błędów technicznych. Następnie wznowiono go bez pełnej zgodności z przepisami o ochronie danych osobowych.
  6. System oceniania kurierów: Algorytmy używane do punktowania pracy kurierów mogły prowadzić do niesprawiedliwych decyzji o ograniczeniu dostępu do platformy, co miało wpływ na ich możliwości zarobkowe.
  7. Zmiany wdrożone przez Foodinho: W odpowiedzi na wykazane uchybienia spółka wdrożyła środki naprawcze, w tym aktualizację polityki prywatności, zmianę systemu powiadomień o dezaktywacji kont, ograniczenie dostępu do danych oraz skrócenie okresu przechowywania informacji biometrycznych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Transparentność polityki prywatności: Zapewnienie, aby informacje zawarte w polityce prywatności dotyczące przetwarzania danych były łatwo dostępne i aktualizowane na bieżąco.
  2. Systemy automatyczne: Wprowadzenie manualnych kontroli w przypadkach krytycznych, takich jak dezaktywacja konta w wyniku śmierci użytkownika.
  3. Okres przechowywania danych osobowych: Zalecana weryfikacja okresów przechowywania danych w szczególności w odniesieniu do informacji geolokalizacyjnych oraz danych biometrycznych, aby spełnić wymogi minimalizacji danych.
  4. Ograniczenie dostępu do danych: Wdrożenie mechanizmów segregacji dostępu, aby pracownicy z innych krajów nie mieli możliwości przeglądania danych osobowych użytkowników w innym państwie .
  5. System oceny pracowników: Rekomendowane ustanowienie przejrzystości zasad punktacji i eliminacja ewentualnych uprzedzeń wynikających z automatycznych algorytmów.
  6. Komunikacja z użytkownikami: Opracowanie jednoznacznych procedur informowania użytkowników o zmianach statusu ich konta, aby uniknąć nieodpowiednich lub mylących powiadomień.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO