以下文章来源于互联网法律匠 ,作者麻策律师
2023 年 2 月初,外卖平台对意大利 3.28%的在用快递员启动了面部识别测试;2 月 20 日,测试范围扩大到 18.33%的在用快递员;2 月 27 日,测试范围缩小到 15.55%,3 月 13 日,测试范围扩大到 32.61%。外卖平台公司还表示,计划从 2023 年 3 月 27 日起重新启动所有在职外卖员的面部识别功能。
至于原因,外卖平台认为其目的是 "确认被识别的人是一个真实的人,而不仅仅是账户所有人的照片”。处理过程分为两个阶段:第一阶段,旨在扫描骑手身份证件中的照片;第二阶段,要求骑手进行面部 "自拍",以便与身份证件的扫描照片进行核对。
但是,Garante调查认为,外卖平台曾在七个多月的时间里暂停处理生物识别数据,这一事实表明,这种处理对于提供送餐服务并非不可或缺。特别是,Garante发现公司 "面部识别 "进行的处理包括 "每天一次要求所有相关外卖员进行面部识别”。在处理生物识别数据时,外卖平台使用了由美国公司 Jumio Corporation 提供的软件。
Garante认为,根据GDPR,对于在就业背景下进行的处理,只有在 "为履行数据控制者或数据主体在就业和社会保障法方面的义务和行使其特定权利所必需 "时,才允许处理生物识别数据。对于在就业背景下进行的处理,只有在 "为履行数据控制者或数据主体在就业和社会保障法及社会保护方面的义务和行使其特定权利之目的所必需的情况下,经欧盟或成员国法律授权,或根据成员国法律经集体协议授权,并在对数据主体的基本权利和利益有适当保障的情况下”。
因此,现行数据保护法律不允许处理工人的生物识别数据,对其进行识别后以防止在提供服务时出现人员替换并不具有可行性。特别是骑手在通过面部识别后,仍然有可能在将设备交给另一个人。
07 违反DPIA
GDPR第35条规定,"如果某类处理操作,特别是涉及使用新技术的处理操作,在考虑到处理的性质、主体、背景和目的的情况下,可能对自然人的权利和自由构成高风险,则控制者应在处理前对所设想的处理操作对个人数据保护的影响进行评估"。
Garante调查发现,在开展调查活动时,虽然外卖平台公司已按照上述第 35 条的要求进行了数据保护影响评估,其中专门涉及生物特征数据的处理(特别是面部识别)。但是该评估没有充分考虑到在管理雇佣关系时处理生物识别数据的合法性问题,同时,评估时将履行合同义务作为合法性基础。因此,Garante认为,外卖平台在处理骑手的生物识别数据是非法的,其DPIA并没有就此合法性进行评估,DPIA本身就存在重大缺漏。
08 违反必要的保障措施
在调查过程中,因为可以直接进入了外卖平台系统,Garante发现公司的操作员可以访问 Glovo 集团公司在意大利以外的欧洲国家和欧洲以外国家的骑手的一些数据。
特别是,通过访问 "实时地图 "部分,意大利公司的经营者可以在作为参考的城市(欧盟和非欧盟)地图上查看值班骑手的个人数据,特别是身份证、电话号码和地理位置。鉴于公司使用的平台以统一的方式运行,无论在哪个国家使用,Glovo 集团其他公司的运营商可以或已经能够访问在意大利运营的骑手的某些数据。
2024年1月,Glovo 集团也认识到了这个问题,其在申辩中称已在GlovoApp进行调整,从而"建立基于国家的隔离级别,防止在其他国家显示快递员的个人数据,少数情况除外"。
Garante认为,至少在 2024 年 2 月 29 日之前,即在相当长的一段时间内,公司没有就GlovoApp采取步骤,通过隔离措施确保对在意大利运营的骑手的个人数据的访问将受到限制,且与处理目的相关,并确保此类数据的保密性。隔离措施旨在不允许在其他国家运营的其他关联公司的运营商通过平台访问在意大利运营的骑手的个人数据(特别是 ID、电话号码和地理位置)。
同时,可以访问公司 "实时地图 "部分的操作员总数为 321 人。考虑到公司似乎没有对使如此多的经营者有资格进入 "实时地图 "部分的具体要求进行精确评估,从而实际上开放了不恰当的员工访问权限。
09 违反数据存储期
调查发现,Glovo将与骑手的通话记录保存了 36 个月,用于以下目的:"评估所提供服务的质量"、"在出现投诉或审判的情况下,对与第三方的所有互动进行书面记录"、"处理并适当回应主管当局[......]和执法机构[......]提出的要求",以及"根据 GDPR 妥善处理和记录数据主体[......]提出的要求"。
但是,Glovo并没有说明有哪些法律义务要求有36个月的保留期限。另外,骑手的送货路线地图也被保存,公司在其辩护状中辩称,上述骑手的通话电话和送货地图的保留期限本来可以设定为 10 年这一更宽的时限, 因为考虑到 "它们实际上与公司和快递公司之间合同关系的管理、法律义务的履行。
但是,Garante认为这一论点不能接受,因为所收集的个人数据的保留期限必须与处理的具体目的相称。该公司没有具体说明,也没有举例说明,数据控制者是如何根据税收、社会保障或规定期限的规则而有必要保留电话甚至路线图的。
10 非法共享骑手数据
2023 年 7 月 26 日和 27 日的检查结果显示,Glovo向第三方(尤其是 Google Firebase、Braze 和 mParticle)发送了大量与骑手有关的个人数据。
Glovo表示,这些服务提供商 "代表 Foodinho S.r.l. 担任数据控制者。例如,谷歌 Firebase 提供的 Crashlytics 功能 "用于检测和管理用户使用的移动和网络应用程序的崩溃",该公司会发送以下信息:骑手 ID 和 "日志信息"("记录事件发生时用户正在进行的操作的元数据:事件发生时用户所在的当前屏幕、为特定用户启用的功能激活程序、用户触发事件的操作,例如点击或通知到达")。法律依据是执行与用户签订的合同,以及解决应用程序故障的可能性。
Garante调查认为,Glovo通过使用被指定为次级处理者的公司提供的服务,长期处理大量涉及骑手的个人数据,而这些数据与所追求的目的无关,有时处理方法甚至连该公司自己都不知道。特别是未清除的代码残余。
最终,Garante根据案件相关的所有因素,特别是侵权行为的性质、严重程度和持续时间,考虑到有关处理的性质、目标或目的,以及受损害影响的数据当事人的数量和他们遭受损害的程度,认为本案中外卖平台侵权行为的严重程度较高,应向Foodinho s.r.l. 公司适用行政处罚,即支付相当于 5 000 000 欧元(500 万)的罚款。
原文:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10074601
