意大利外卖小哥困在算法里：Foodinho因处理骑手生物识别和地理定位数据被处罚 500 万欧元

文摘 2024-11-30 18:48 上海

扫码立即加入学习！

整理：何渊

2024 年 11 月 22 日，意大利数据保护机构（Garante）公布了 2024 年 11 月 13 日的第 675 号决定，对 Foodinho s.r.l. 因违反《通用数据保护条例》（GDPR）处以 500 万欧元罚款。

决定背景

Garante 在一篇关于一名骑手为 Foodinho 送餐时死亡的新闻报道发布后展开了调查。Garante 发现，Foodinho 从 2020 年 11 月开始至 2022 年 7 月使用面部识别技术处理骑手的生物识别数据用于身份验证目的。身份验证过程包括扫描身份证件，随后骑手需提供自己的自拍照。Garante 指出，不执行此过程可能导致账户停用，且处理生物识别数据是履行雇佣合同条款所必需的。

Garante 的调查结果

经过调查，Garante 认定 Foodinho 违反了 GDPR 第 5 (1)(a)、5 (1)(c) 和 5 (1)(d) 条规定的准确性和数据最小化原则，因为它错误地向骑手群体发送自动账户停用消息，且未提及对停用通知提出质疑的可能性。

Garante 指出，在向骑手发送的标准消息通知中进行的处理（自动进行且与骑手的具体情况无关）违反了 GDPR 第 25 条规定的数据保护设计和默认原则。Garante 概述，处理必须是为实现所进行的特定合法目的所必需的。

Garante 还发现 Foodinho 违反了 GDPR 第 13 条。具体而言，Foodinho 被认定未以简洁、透明、易懂和易于获取的形式向骑手提供有关数据处理的全面信息，在其隐私声明中未采用分层方法等。

值得注意的是，Garante 认为 Foodinho 未告知骑手有关全自动决策或监控系统的数据处理情况。自动化系统用于任务管理和分配、雇佣关系终止和绩效评估等方面。Garante 指出，在雇佣关系中，鉴于雇员和雇主之间的不平等关系，雇主不能依赖雇员对其个人数据处理的同意。由于未能透明地告知骑手自动化决策情况以及在雇佣关系中使用自动化决策的情形，Garante 认定 Foodinho 违反了 GDPR 第 12 条和第 13 条。

关于自动化决策系统，Garante 还认为 Foodinho 违反了 GDPR 第 22 条和第 25 条，因为它在自动化决策过程中未采取适当措施保护数据主体。

Garante 还判定 Foodinho 违反了 GDPR 第 28 条，Foodinho 在骑手不具备执行数据控制者任务所需特征的情况下将其指定为数据控制者。

在生物识别数据方面，Garante 发现 Foodinho 在没有有效法律依据的情况下处理骑手生物识别数据，违反了 GDPR 第 5 (1)(a) 和 9 (2)(b) 条。同样，Foodinho 未对处理骑手生物识别数据进行适当的数据保护影响评估（DPIA），未能考虑数据主体面临的风险。

Foodinho 还被判定违反了 GDPR 第 5 (1)(f) 和 32 条，因为它未采取适当的技术和组织措施防止员工访问骑手的个人数据。

在个人数据存储方面，Foodinho 被发现将骑手与客户之间的电话通话记录保留 36 个月。Garante 认为保留期限超过了实现收集目的所需的时间，违反了 GDPR 第 5 (1)(e) 条。

此外，Garante 认定 Foodinho 在很长一段时间内发送了大量骑手数据，用于与收集数据目的无关的目的，并且在某些情况下未告知骑手。因此，Garante 认为 Foodinho 违反了 GDPR 第 5 (1)(c)、6、13、14 和 25 条。

Foodinho 还在骑手不活跃时收集和存储其位置数据，并且骑手位置数据也被提供给第三方。因此，Garante 发现 Foodinho 违反了 GDPR 第 5 (1)(a) 和 88 条。

结果

鉴于上述违规行为，Garante 对 Foodinho 处以 500 万欧元罚款，并发布命令要求该公司采取措施确保遵守 GDPR 被违反的条款。

附处罚决定书：

1. 对公司的检查活动

意大利数据保护机构（Garante）在新闻报道一名骑手（Sebastian Galassi，简称 S.G.）于 2022 年 10 月 1 日在佛罗伦萨为 Foodinho s.r.l.（以下简称 “公司”）送货途中遭遇交通事故死亡后，其账户被断开连接，随后展开了调查。Garante 委托意大利金融警卫队特别隐私和技术欺诈保护小组进行检查，检查时间为 2022 年 12 月 13 - 14 日、2023 年 2 月 28 日、3 月 1 日、7 月 26 - 27 日，目的是获取信息、查阅文件并访问数据库。

2. 采取纠正措施和公司申辩的程序启动

2023 年 10 月 11 日，Garante 根据检查结果，通知公司其在通过数字平台处理数据方面存在多项违规行为，涉嫌违反《欧盟通用数据保护条例》（GDPR）的多条规定，以及意大利相关法律法规。公司在 12 月 11 日提交的抗辩意见中，对 Garante 的管辖权提出异议，并声称当前程序与 2019 年已开展的程序存在重复，违反了 “一事不再理” 原则。在实质问题上，公司对各项违规指控进行了回应和解释，并表示已采取或计划采取措施改进数据处理流程。

3. 先决问题：Garante 的管辖权和 “一事不再理” 原则

Foodinho s.r.l. 质疑 Garante 对其通过 GlovoApp23 SA 拥有的数字平台处理骑手数据的管辖权，但 Garante 认为，公司作为在意大利处理数据的主体，应受其监管，且本次调查与之前的程序在处理对象、事实和法律依据等方面均不同，不存在 “一事不再理” 的问题。

4. 违规行为认定

。。。。。。

5. 结论：处理行为违法声明及纠正措施命令

。。。。。。

全部AI及数据中译本及资讯请加入

数据保护官

何渊老师主理的DPOHUB数据保护官俱乐部：一个聚焦数据隐私和数据安全的非营利性高端学术平台；一个整合法律、技术及管理的专业数据合规生态体；一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。合作WX：heguilvshi

平台无法披露注销账号个人信息，法院：保存期限满后删除不存在过错｜附判决书

拼多多招聘商品合规法务（跨境业务）

OpenAI被意大利罚款1500万欧元：涉及六大数据违法行为？

全国首家数据科技央企正式成立！注册资金100亿

个人养老金莫名“被开户”？

美国拟彻底封禁中国电信……

某数据局公开转让1.08亿数字资产，或已被叫停

附全文 | TikTok向美国最高法院提交紧急禁止令，特朗普会见周受资：我对TikTok有好感

国务院：审议通过《公共安全视频图像信息系统管理条例（草案）》

安盛保险因滥用客户数据在韩国面临超27亿罚款

水门事件与美国 1974 年《隐私法案》

26岁OpenAI举报人疑自杀！死前揭ChatGPT训练黑幕

因非法收集共享用户隐私数据，这家医疗公司赔偿超1.8亿元

网友称被陌生人用字节跳动旗下豆包AI搜出微信号？

北京互联网法院“搜索提示词”算法侵权案生效

国家网信办集中整治网上金融信息乱象

直播预约 | 何渊：英伟达为何成为全球公敌？中国反垄断案的罚款可能超210亿？| DPOHUB何谈第39期

美国数据安全小巨头市值逼近千亿元：业绩暴涨年化收入破10亿美元

广州发布公共数据授权运营管理暂行办法

英伟达在中国遭反垄断调查，此前收购迈络思被附加限制性条件 | 附全部资料

GDPR框架下的个人数据处理合法利益评估全流程解析

前沿译文 | 美国法院TikTok败诉判决（全文）

江西发布《数据资源公证登记规范》《数据资产质押公证登记规范》地方标准

“史上最严车检来了”？真相是→

突发！证监会决定对广道数字立案！

中办、国办：探索建立支撑新型城市基础设施建设的数据共享、交换、协作和开放模式

数据安全：105个必备词汇定义解读！

附中译本 | 欧盟《关于境外司法机构要求数据处理者提供数据的适用指南》征求意见

浙江发布20个数据知识产权典型案例

警惕！98万部老人机被远程控制，每月莫名扣费……

反制！商务部：原则上不予许可镓、锗、锑、超硬材料相关两用物项对美国出口

上海对滥用人脸识别说“不”

拼团 | 何渊《欧盟人工智能法》12讲：原理、规则及合规落地

结课大优惠 | 何渊《欧盟人工智能法》12讲：原理、规则及合规落地

国家数据局部署2025年数据系统投资重点任务

点击网站内链接跳转至非法网站，湖南一网络科技公司被罚1万元

意大利外卖小哥困在算法里：Foodinho因处理骑手生物识别和地理定位数据被处罚 500 万欧元

欧盟法院：“不是所有个人数据违法行为都要标配处罚！”

上海网信办《网络平台履行未成年人网络保护义务合规指引（试行）》发布！附全文图解

这个国家“立法”：16岁以下禁用社交媒体！家长同意也不行！

历史首次：香港终审法院就同性作出里程碑意义判决

健身房强制“刷脸”行为？上海检察机关通过公益诉讼治理侵犯个人信息权案件

重磅！上汽华为达成合作？

欧洲数据法案：2024 年的发展及其未来

全球首份！360《大模型安全漏洞报告》：曝光近40个相关安全漏洞

“比未来汽车集团”？蔚来：已报警！

中译本 | 英国ICO：如何共享个人信息以支持防范欺诈和诈骗

附全文 |《工业和信息化领域数据安全合规指引》正式发布

国家数据局围绕数据特性及其作用机制等 12 个核心理论议题召开研讨会

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉