Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Restaurant Partner Polska, prowadzącą platformę Glovo, administracyjną karę pieniężną w wysokości 5 898 064 zł. Powodem było naruszenie przepisów RODO poprzez pozyskiwanie – bez odpowiedniej podstawy prawnej – skanów i zdjęć dokumentów tożsamości użytkowników aplikacji mobilnej.
Sprawa jest efektem kontroli przeprowadzonej przez Prezesa UODO, która dotyczyła sposobu przetwarzania danych osobowych użytkowników aplikacji „Glovo – dostawa jedzenie i inne”. Organ nadzorczy badał m.in. cele, zakres oraz podstawy prawne przetwarzania danych.
Dodatkowa weryfikacja przy podejrzeniu oszustwa
Jak ustalił UODO, spółka w określonych sytuacjach związanych z podejrzeniem nadużycia żądała od użytkowników przesłania skanu lub zdjęcia dowodu osobistego albo paszportu. Takie przypadki miały dotyczyć m.in. zgłoszeń od kurierów o próbie kradzieży zamówienia przez klienta, użyciu fałszywych pieniędzy, rozbieżności między danymi karty płatniczej a danymi użytkownika czy podejrzenia, że w przesyłce mogą znajdować się nielegalne substancje.
Restaurant Partner Polska tłumaczyła, że działała w oparciu o art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. Zdaniem spółki miało to służyć weryfikacji tożsamości osoby podejrzewanej o oszustwo. Firma argumentowała również, że takie działania miały charakter wyjątkowy, a ich wdrożenie poprzedzono oceną skutków dla ochrony danych oraz testem równowagi.
UODO: uzasadniony interes to za mało
Prezes UODO nie zgodził się z tym stanowiskiem. W ocenie organu powołanie się na uzasadniony interes administratora nie mogło usprawiedliwiać tak szerokiego zakresu pozyskiwanych danych osobowych, jakie znajdują się w dokumentach tożsamości.
Urząd podkreślił, że kopiowanie lub utrwalanie dokumentów tożsamości może następować wyłącznie w szczególnych przypadkach, przez podmioty wyraźnie upoważnione do tego w przepisach prawa. Taka możliwość wynika np. z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, ale tylko wobec ściśle wskazanych instytucji. Restaurant Partner Polska nie należy do tej kategorii, dlatego – zdaniem organu – nie mogła korzystać z takich uprawnień.
UODO wskazał też, że podstawy do żądania pełnych skanów dokumentów nie dawała również ustawa o świadczeniu usług drogą elektroniczną. Według organu taki zakres danych nie był niezbędny ani do zawarcia, ani do wykonania czy rozwiązania umowy pomiędzy użytkownikiem a platformą.
Naruszenie zasady minimalizacji danych
Kluczowe znaczenie w tej sprawie miała również zasada minimalizacji danych. UODO uznał, że przeciwdziałanie oszustwom nie może prowadzić do pozyskiwania danych nadmiarowych. Tymczasem zakres danych przetwarzanych przez spółkę obejmował bardzo szeroki katalog informacji znajdujących się w dokumentach tożsamości.
Chodziło m.in. o:
imię i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę jego wydania i ważności, adres zamieszkania, wizerunek oraz inne dane widoczne na dokumencie.
W ocenie Prezesa UODO oznacza to naruszenie art. 6 ust. 1 RODO, ponieważ dane były przetwarzane bez podstawy prawnej, w zakresie nieadekwatnym do deklarowanego celu. Organ stwierdził również naruszenie zasad zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji danych, wynikających z art. 5 ust. 1 lit. a i c RODO.
Dodatkowo UODO uznał, że skoro przetwarzanie nie było legalne, to doszło także do naruszenia zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.
Organ nadzorczy zwrócił ponadto uwagę na przepisy ustawy o dokumentach publicznych. Zgodnie z nią dowód osobisty i paszport należą do dokumentów publicznych pierwszej kategorii, objętych szczególnym reżimem ochronnym. Zdaniem UODO działania spółki były wątpliwe także z perspektywy celu tej ustawy, którym jest ochrona najważniejszych dokumentów publicznych przed nadużyciami.
Ponad 3,4 mln użytkowników i wieloletni okres naruszenia
Na wysokość kary wpływ miały nie tylko sam charakter i ciężar naruszenia, ale także długość jego trwania. Jak wskazał Prezes UODO, nieprawidłowości miały miejsce od lipca 2019 roku. Organ wziął pod uwagę również skalę działalności spółki, ponieważ baza danych objęta sprawą dotyczyła ponad 3,4 mln aktywnych użytkowników w Polsce.
Według UODO istniało realne ryzyko szkody niemajątkowej po stronie użytkowników, polegającej m.in. na obawie przed utratą kontroli nad swoimi danymi oraz możliwością kradzieży tożsamości.
Prezes Urzędu uznał naruszenie za poważne, ponieważ dotyczyło podstawowych zasad przetwarzania danych osobowych. W ocenie organu nałożona kara ma być skuteczna, proporcjonalna i odstraszająca.
Nakaz usunięcia danych i wstrzymania praktyki
Oprócz kary finansowej UODO nakazał spółce:
zaprzestanie pozyskiwania i dalszego przetwarzania skanów oraz zdjęć dowodów osobistych i paszportów użytkowników aplikacji Glovo, a także usunięcie danych zebranych w ten sposób.
Na wykonanie tego obowiązku spółka ma 30 dni od doręczenia decyzji.
Decyzja Prezesa UODO pokazuje, że nawet działania podejmowane w ramach procedur antyfraudowych muszą mieścić się w granicach prawa. Sam cel, taki jak przeciwdziałanie oszustwom, nie daje jeszcze administratorowi prawa do pozyskiwania pełnych skanów dokumentów tożsamości.
Sprawa Glovo może stać się ważnym sygnałem dla innych firm działających w gospodarce cyfrowej. UODO jednoznacznie wskazuje, że środki bezpieczeństwa i procedury weryfikacyjne nie mogą prowadzić do zbierania nadmiarowych danych bez wyraźnej podstawy ustawowej.
Sygnatura sprawy: DKN.5112.33.2022





