1 godzina temu
Urząd Ochrony Danych Osobowych wymierzył niemal 5,9 mln zł kary operatorowi popularnej platformy Glovo. Zdaniem urzędu firma przez lata, bez jednoznacznej podstawy prawnej, żądała od użytkowników przesyłania zdjęć dowodów osobistych i paszportów.
Walka z oszustwami pod lupą UODO. Glovo ukarane
Spółka Restaurant Partner Polska, zarządzająca aplikacją „Glovo – dostawa jedzenie i inne”, tłumaczyła swoje działania koniecznością weryfikacji klientów w przypadku podejrzenia oszustwa. Firma domagała się od użytkowników przesłania skanu lub zdjęcia dokumentu tożsamości w nietypowych sytuacjach zgłaszanych przez kurierów. Należały do nich m.in. próby kradzieży zamówienia, użycie fałszywych pieniędzy, rozbieżności między danymi użytkownika a nazwiskiem na karcie płatniczej, a choćby podejrzenie, iż w przesyłce znajdują się nielegalne substancje.
Glovo argumentowało, iż takie działanie opierało się na art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadnionym interesie administratora, a weryfikację stosowano wyłącznie w wyjątkowych sytuacjach.
„Uzasadniony interes” to za mało w ocenie UODO
Prezes UODO, Mirosław Wróblewski, nie podzielił tej argumentacji. W ocenie urzędu powoływanie się na uzasadniony interes było całkowicie niewystarczające przy tak szerokim zakresie przetwarzanych danych. Jak wskazał organ nadzorczy, kopiowanie dokumentów tożsamości – w tym dowodów osobistych i paszportów podlegających szczególnemu reżimowi ochronnemu – powinno być zarezerwowane wyłącznie dla konkretnych, upoważnionych ustawowo instytucji (np. w ramach przeciwdziałania praniu pieniędzy). Operator aplikacji do zamawiania jedzenia nie należy do tej kategorii podmiotów.
W konsekwencji UODO uznał, iż doszło do naruszenia zasady minimalizacji danych i braku legalności ich przetwarzania. Według ustaleń urzędu firma pozyskiwała nadmiarowe informacje z dokumentów, w tym m.in.:
- imię, nazwisko oraz nazwisko rodowe,
- imiona rodziców,
- numer PESEL, serię i numer dokumentu,
- datę i miejsce urodzenia,
- wizerunek oraz adres zamieszkania.
Pozyskiwanie zdjęć dowodów tożsamości użytkowników odbywało się dzięki aplikacji / Źródło: GlovoMiliony użytkowników Glovo i surowe konsekwencje
Wymiar nałożonej kary – dokładnie 5 898 064 zł – odzwierciedla, w ocenie prezesa UODO, charakter i wagę naruszenia. Urząd wziął pod uwagę fakt, iż kwestionowany proceder trwał bardzo długo, bo od lipca 2019 roku. Co więcej, skala potencjalnego oddziaływania była ogromna, ponieważ baza danych aplikacji Glovo obejmowała ponad 3,4 miliona aktywnych użytkowników w Polsce. Urząd podkreślił, iż takie działania stworzyły realne ryzyko obawy klientów o utratę kontroli nad swoimi danymi i kradzież tożsamości.
Oprócz dotkliwej grzywny finansowej, organ nadzorczy nakazał spółce zaprzestanie pozyskiwania skanów dowodów i paszportów. Według decyzji UODO Glovo ma również zaledwie 30 dni na całkowite usunięcie zebranych w ten sposób danych ze swoich systemów.
Źródło tekstu: UODO / Zdjęcie otwierające: Glovo
