Boete voor Italiaanse Deliveroo vanwege slechte gegevensbescherming
Uit onderzoek van de Italiaanse privacy-toezichthouder (de GPDP) bleek dat het bezorgingsplatform Foodinho slordig omging met de persoonsgegevens van haar medewerkers. Daarom leek het ons interessant om te bekijken welke problemen de toezichthouder heeft gesignaleerd.
De AVG voor werkgevers
Iedere werkgever verwerkt persoonsgegevens van haar werknemers. Dus ook platformen als Uber en Deliveroo. Voor bedrijven binnen de EU betekent dit dat ze zich aan de Europese gegevensbeschermingswetgeving, waaronder de AVG, moeten houden.
Concreet betekent dit dat een werkgever aan werknemers moet vertellen:
- Welke persoonsgegevens er worden verwerkt.
- Waarom die gegevens verwerkt worden.
- Waar die gegevens vandaan komen.
Ook moet een werkgever zorgen dat ze zorgvuldig met de persoonsgegevens van haar werknemers omgaat.
Samenwerking van Italiaanse en Spaanse toezichthouders
De hoogste rechter van Italië bepaalde dat platformwerkers zoals maaltijdbezorgers dezelfde rechten hebben als werknemers. Hierop begon de GPDP een onderzoek naar de verwerking van de persoonsgegevens bij maaltijdbezorgingsplatforms. Dit leidde tot een boete van meer dan 2.5 miljoen euro voor Foodinho en haar moederbedrijf. Voor de toezichthouders was vooral het gebruik van algoritmes die het werk van de werknemers controleren van belang.
Bevindingen uit het onderzoek
Uit het onderzoek van de GPDP kwamen verschillende bevindingen naar boven:
Ten eerste werden medewerkers niet voldoende geïnformeerd over hoe het platform werkt.
Ten tweede waren er niet genoeg maatregelen genomen om te zorgen dat de resultaten van de algoritmes die medewerkers beoordeelden van hoge kwaliteit waren. Hierdoor werden discriminerende reviews van klanten wel meegenomen bij het beoordelen van medewerkers.
Ten derde voldeed Foodinho niet aan de eisen van artikel 22 van de AVG, het verbod op geautomatiseerde besluitvorming. Alleen onder strikte voorwaarden mag een geautomatiseerd systeem beslissingen nemen die juridische of andere ingrijpende gevolgen op individuen hebben. Je heb als betrokkene het recht om:
- Een mens naar de beslissing te laten kijken.
- Uitleg krijgen over een uitkomst van het systeem.
- Bezwaar te maken tegen het gebruik van een geautomatiseerd beslissingssysteem.
Tot slot schoot Foodinho volgens de toezichthouders tekort in het naleven van algemene eisen van de AVG:
- Er ontbrak documentatie bij het geautomatiseerde beslissingssysteem.
- Er waren te weinig maatregelen om de verwerking van persoonsgegevens te beveiligen.
- Er was geen functionaris gegevensbescherming aangesteld.
Besluit van de GPDP
Op basis van dit onderzoek heeft de GPDP een boete van 2.6 miljoen euro opgelegd aan Foodinho. Daarnaast Foodinho moet alle overtredingen corrigeren, specifiek:
- Discriminerende reviews niet meer meegenomen worden bij de beoordelingen van werknemers.
- De persoonsgegevens die worden gebruikt bij de beoordeling moeten gecontroleerd worden op nauwkeurigheid en relevantie.
- Actie ondernemen om het risico op een discriminerend effect in het beoordelingssysteem te beperken.
Conclusie
Bedrijven als Foodinho, Deliveroo en Gorillaz proberen zo snel mogelijk te groeien om zo een groot marktaandeel te behalen. Daarnaast willen zij zo veel mogelijk medewerkers aannemen om te kunnen voldoen aan de grote vraag naar bezorgdiensten. Deze explosieve groei kan ertoe leiden dat persoonsgegevens van medewerkers niet goed worden beschermd. Dat was bij Foodinho ook het geval en die hebben hiervoor een fikse boete gekregen.
Bij een nieuwer businessmodel zoals maaltijdbezorgingplatforms is er meestal meer interesse van toezichthouders. Daarom is het juist voor deze nieuwe bedrijven is het van belang om zaken zoals de bescherming van persoonsgegevens op orde te hebben.
Heeft u vragen over uw eigen dataverwerking? Of over uw verplichtingen als werkgever? Neem dan contact op met:
- Marlies Hol van Arbeidsrecht
- Jos van der Wijst van Tech
Meer artikelen over de overlap tussen Arbeidsrecht en Tech: