UODO ukarał Glovo na blisko 5,9 mln zł. Chodzi o bezprawne pozyskiwanie skanów dowodów

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Restaurant Partner Polska, prowadzącą platformę Glovo, administracyjną karę pieniężną w wysokości 5 898 064 zł. Powodem było naruszenie przepisów RODO poprzez pozyskiwanie – bez odpowiedniej podstawy prawnej – skanów i zdjęć dokumentów tożsamości użytkowników aplikacji mobilnej.

Sprawa jest efektem kontroli przeprowadzonej przez Prezesa UODO, która dotyczyła sposobu przetwarzania danych osobowych użytkowników aplikacji „Glovo – dostawa jedzenie i inne”. Organ nadzorczy badał m.in. cele, zakres oraz podstawy prawne przetwarzania danych.

Dodatkowa weryfikacja przy podejrzeniu oszustwa

Jak ustalił UODO, spółka w określonych sytuacjach związanych z podejrzeniem nadużycia żądała od użytkowników przesłania skanu lub zdjęcia dowodu osobistego albo paszportu. Takie przypadki miały dotyczyć m.in. zgłoszeń od kurierów o próbie kradzieży zamówienia przez klienta, użyciu fałszywych pieniędzy, rozbieżności między danymi karty płatniczej a danymi użytkownika czy podejrzenia, że w przesyłce mogą znajdować się nielegalne substancje.

Restaurant Partner Polska tłumaczyła, że działała w oparciu o art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. Zdaniem spółki miało to służyć weryfikacji tożsamości osoby podejrzewanej o oszustwo. Firma argumentowała również, że takie działania miały charakter wyjątkowy, a ich wdrożenie poprzedzono oceną skutków dla ochrony danych oraz testem równowagi.

UODO: uzasadniony interes to za mało

Prezes UODO nie zgodził się z tym stanowiskiem. W ocenie organu powołanie się na uzasadniony interes administratora nie mogło usprawiedliwiać tak szerokiego zakresu pozyskiwanych danych osobowych, jakie znajdują się w dokumentach tożsamości.

Urząd podkreślił, że kopiowanie lub utrwalanie dokumentów tożsamości może następować wyłącznie w szczególnych przypadkach, przez podmioty wyraźnie upoważnione do tego w przepisach prawa. Taka możliwość wynika np. z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, ale tylko wobec ściśle wskazanych instytucji. Restaurant Partner Polska nie należy do tej kategorii, dlatego – zdaniem organu – nie mogła korzystać z takich uprawnień.

UODO wskazał też, że podstawy do żądania pełnych skanów dokumentów nie dawała również ustawa o świadczeniu usług drogą elektroniczną. Według organu taki zakres danych nie był niezbędny ani do zawarcia, ani do wykonania czy rozwiązania umowy pomiędzy użytkownikiem a platformą.

Naruszenie zasady minimalizacji danych

Kluczowe znaczenie w tej sprawie miała również zasada minimalizacji danych. UODO uznał, że przeciwdziałanie oszustwom nie może prowadzić do pozyskiwania danych nadmiarowych. Tymczasem zakres danych przetwarzanych przez spółkę obejmował bardzo szeroki katalog informacji znajdujących się w dokumentach tożsamości.

Chodziło m.in. o:
imię i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę jego wydania i ważności, adres zamieszkania, wizerunek oraz inne dane widoczne na dokumencie.

W ocenie Prezesa UODO oznacza to naruszenie art. 6 ust. 1 RODO, ponieważ dane były przetwarzane bez podstawy prawnej, w zakresie nieadekwatnym do deklarowanego celu. Organ stwierdził również naruszenie zasad zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji danych, wynikających z art. 5 ust. 1 lit. a i c RODO.

Dodatkowo UODO uznał, że skoro przetwarzanie nie było legalne, to doszło także do naruszenia zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.

Organ nadzorczy zwrócił ponadto uwagę na przepisy ustawy o dokumentach publicznych. Zgodnie z nią dowód osobisty i paszport należą do dokumentów publicznych pierwszej kategorii, objętych szczególnym reżimem ochronnym. Zdaniem UODO działania spółki były wątpliwe także z perspektywy celu tej ustawy, którym jest ochrona najważniejszych dokumentów publicznych przed nadużyciami.

Ponad 3,4 mln użytkowników i wieloletni okres naruszenia

Na wysokość kary wpływ miały nie tylko sam charakter i ciężar naruszenia, ale także długość jego trwania. Jak wskazał Prezes UODO, nieprawidłowości miały miejsce od lipca 2019 roku. Organ wziął pod uwagę również skalę działalności spółki, ponieważ baza danych objęta sprawą dotyczyła ponad 3,4 mln aktywnych użytkowników w Polsce.

Według UODO istniało realne ryzyko szkody niemajątkowej po stronie użytkowników, polegającej m.in. na obawie przed utratą kontroli nad swoimi danymi oraz możliwością kradzieży tożsamości.

Prezes Urzędu uznał naruszenie za poważne, ponieważ dotyczyło podstawowych zasad przetwarzania danych osobowych. W ocenie organu nałożona kara ma być skuteczna, proporcjonalna i odstraszająca.

Nakaz usunięcia danych i wstrzymania praktyki

Oprócz kary finansowej UODO nakazał spółce:
zaprzestanie pozyskiwania i dalszego przetwarzania skanów oraz zdjęć dowodów osobistych i paszportów użytkowników aplikacji Glovo, a także usunięcie danych zebranych w ten sposób.

Na wykonanie tego obowiązku spółka ma 30 dni od doręczenia decyzji.

Decyzja Prezesa UODO pokazuje, że nawet działania podejmowane w ramach procedur antyfraudowych muszą mieścić się w granicach prawa. Sam cel, taki jak przeciwdziałanie oszustwom, nie daje jeszcze administratorowi prawa do pozyskiwania pełnych skanów dokumentów tożsamości.

Sprawa Glovo może stać się ważnym sygnałem dla innych firm działających w gospodarce cyfrowej. UODO jednoznacznie wskazuje, że środki bezpieczeństwa i procedury weryfikacyjne nie mogą prowadzić do zbierania nadmiarowych danych bez wyraźnej podstawy ustawowej.

Sygnatura sprawy: DKN.5112.33.2022

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...

Wojanki i Palionki pod lupą UOKiK. Zarzuty dla youtuberów

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowania przeciwko...
Coś dla Ciebie

Wybrane kategorie