Żądanie skanu dowodu osobistego przez platformę do zamawiania usług bez podstawy prawnej narusza RODO

Stan faktyczny sprawy

Sprawa była następstwem kontroli przeprowadzonej przez Prezesa UODO w październiku 2022 r. wobec spółki prowadzącej w Polsce aplikację mobilną służącą do zamawiania produktów oferowanych przez partnerów platformy. Jak wynika z decyzji, zakres kontroli obejmował przetwarzanie danych osobowych przy użyciu aplikacji, w tym podstawę prawną, zakres, rodzaj i cel przetwarzania danych użytkowników.

Ustalono, iż w przypadku podejrzenia oszustwa spółka mogła żądać od użytkownika przesłania zdjęcia awersu karty płatniczej albo zdjęcia dowodu osobistego lub paszportu. Tego rodzaju działania miały być podejmowane w ramach wewnętrznej procedury antyfraudowej. W decyzji wskazano, iż dokumenty miały być ważne, a numer dokumentu czytelny. Organ przyjął, iż w praktyce oznaczało to pozyskiwanie bardzo szerokiego zakresu danych osobowych, wynikających z pełnego obrazu dokumentu tożsamości.

Zakres danych przetwarzanych przez spółkę obejmował między innymi imię, nazwisko, nazwisko rodowe, imiona rodziców, datę urodzenia, serię i numer dokumentu, datę ważności, wizerunek, adres zamieszkania, miejsce urodzenia, datę wydania dokumentu, numer PESEL, nazwę organu wydającego, a także inne dane widoczne na dokumencie. Prezes UODO podkreślił, iż z punktu widzenia celu deklarowanego przez administratora, czyli weryfikacji tożsamości osoby podejrzanej o oszustwo, był to zakres daleko wykraczający poza to, co niezbędne.

Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), a więc prawnie uzasadniony interes administratora, polegający na przeciwdziałaniu oszustwom i weryfikacji tożsamości użytkownika podejrzanego o działanie nieuczciwe. W toku postępowania argumentowała również, iż stosowanie tego środka miało mieć charakter wyjątkowy, było ujęte w procedurze wewnętrznej, a jego zasadność miały potwierdzać przeprowadzona ocena skutków dla ochrony danych oraz test równowagi.

Stan prawny i zasadniczy problem rozstrzygnięcia

Przedmiotem oceny Prezesa UODO była zgodność tego modelu przetwarzania z art. 6 ust. 1 RODO, a także z zasadami określonymi w art. 5 ust. 1 lit. a i c oraz art. 5 ust. 2 RODO. Organ przypomniał, iż dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty, a także adekwatnie, stosownie i w zakresie ograniczonym do tego, co niezbędne do celów przetwarzania. Administrator musi przy tym być w stanie wykazać przestrzeganie tych zasad.

Kluczowym zagadnieniem było więc to, czy prywatny administrator prowadzący platformę cyfrową może w ramach własnej procedury antyfraudowej oprzeć żądanie przesłania skanu lub zdjęcia dowodu osobistego albo paszportu na prawnie uzasadnionym interesie z art. 6 ust. 1 lit. f RODO. W decyzji organ odpowiedział na to pytanie przecząco.

Prezes UODO wskazał, iż samo przekonanie administratora o istnieniu uzasadnionego interesu nie wystarcza do uznania przetwarzania za legalne. Szczególne znaczenie ma przy tym charakter danych objętych żądaniem. W ocenie organu przetwarzanie danych zawartych w dowodzie osobistym lub paszporcie, w postaci skanu, zdjęcia czy kopii, może mieć miejsce tylko w sytuacjach wyjątkowych i przez podmioty, które mają do tego wyraźne umocowanie ustawowe.

W uzasadnieniu szeroko odniesiono się do ustawy z 1.3.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2025 r. poz. 644 ). Prezes UODO zaznaczył, iż ustawa ta przyznaje instytucjom obowiązanym określone uprawnienia w zakresie identyfikacji klienta i weryfikacji jego tożsamości. Jednocześnie jednak spółka, której dotyczyło postępowanie, nie należała do kręgu takich podmiotów. W konsekwencji nie mogła korzystać z modelu działania przewidzianego dla instytucji obowiązanych, ani pośrednio uzasadniać własnej praktyki przepisami AML (Anti-Money Laundering).

Organ odrzucił także możliwość oparcia analizowanego procesu na przepisach ustawy o świadczeniu usług drogą elektroniczną. Jak wskazano w decyzji, pozyskiwanie pełnych skanów dokumentów tożsamości nie było niezbędne do zawarcia, ukształtowania treści, wykonania ani rozwiązania stosunku prawnego pomiędzy usługodawcą a usługobiorcą. Co istotne, sam cel przeciwdziałania oszustwom nie został uznany za mieszczący się w ramach celu przewidzianego tymi przepisami dla przetwarzania danych przez usługodawcę.

Prezes UODO nawiązał ponadto do ustawy z 22.11.2018 r. o dokumentach publicznych (t.j. Dz.U. z 2024 r. poz. 1669). Zaznaczył, iż choć ustawa ta nie wprowadza wprost zakazu kopiowania dokumentów tożsamości, to przewiduje szczególny reżim ochronny wobec dokumentów publicznych pierwszej kategorii, do których należą dowód osobisty i paszport. W ocenie organu praktyka żądania przesyłania ich skanów lub zdjęć bez wyraźnej podstawy prawnej pozostaje co najmniej wątpliwa także z punktu widzenia systemowej wykładni tych regulacji.

Argumentacja Prezesa UODO

Uzasadnienie decyzji opiera się na stwierdzeniu, iż administrator nie wykazał żadnej z przesłanek legalizujących przetwarzanie z art. 6 ust. 1 RODO. Oparcie procesu na art. 6 ust. 1 lit. f RODO uznano za nieprawidłowe, gdyż zakres żądanych danych – obejmujący pełny obraz dokumentu tożsamości – nie mógł zostać uzasadniony interesem administratora.

Prezes UODO podkreślił, iż ocena skutków dla ochrony danych oraz test równowagi nie zastępują podstawy prawnej. Administrator nie może legalizować przetwarzania poprzez analizy wewnętrzne, o ile dla danego rodzaju operacji konieczne jest wyraźne umocowanie ustawowe. Ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) i ocena prawnie uzasadnionego interesu (LIA – Legitimate Interests Assessment) mogą mieć znaczenie pomocnicze, ale nie usuwają braku legalności.

Brak podstawy prawnej przesądzał jednocześnie o naruszeniu zasady zgodności z prawem, rzetelności i przejrzystości, a szeroki zakres pozyskiwanych danych – o naruszeniu zasady minimalizacji. Organ wskazał, iż żądanie pełnych skanów dokumentów prowadziło do przetwarzania danych nadmiarowych i nieadekwatnych do deklarowanego celu.

W konsekwencji naruszona została także zasada rozliczalności, gdyż administrator nie był w stanie wykazać zgodności procesu z RODO, mimo wdrożenia procedury, testu równowagi i DPIA.

Organ zwrócił również uwagę, iż przyjęty model działania prowadził w istocie do weryfikacji tożsamości w formie zbliżonej do legitymowania, które przysługuje wyłącznie podmiotom uprawnionym ustawowo. Podmiot prywatny nie może przyjmować takich kompetencji.

Ocena naruszenia i wymiar sankcji

Prezes UODO uznał naruszenie za poważne, wskazując, iż dotyczyło podstawowych zasad przetwarzania danych. Obciążająco oceniono szeroki zakres danych, długi czas trwania praktyki oraz jej umyślny charakter.

Z ustaleń wynika, iż naruszenie trwało od 10.7.2019 r. do momentu wydania decyzji. Istotne znaczenie przypisano temu, iż spółka kontynuowała praktykę mimo wiedzy o zastrzeżeniach organu, co uzasadniało uznanie działania za umyślne.

Na podstawie art. 83 ust. 5 lit. a RODO oraz Wytycznych EROD 04/2022 nałożono karę w wysokości 5 898 064 zł. Jednocześnie nakazano zaprzestanie przetwarzania oraz usunięcie danych w terminie 30 dni.

Jak wskazano także w komunikacie Prezesa UODO, kara uwzględniała charakter i wagę naruszenia, długi okres jego trwania oraz potencjalnie szeroką skalę oddziaływania, obejmującą ponad 3,4 mln użytkowników. Podkreślono również ryzyko szkody niemajątkowej związanej z obawą przed utratą kontroli nad danymi i kradzieżą tożsamości.

Jak podkreślono również w artykule Prezesa UODO „Nie można kopiować dokumentów bez podstawy prawnej – kara dla Glovo”, kara uwzględniała charakter i wagę naruszenia, długi okres jego trwania oraz potencjalnie szeroką skalę oddziaływania, skoro baza danych obejmowała ponad 3,4 mln aktywnych użytkowników w Polsce. W komunikacie zaakcentowano także realne ryzyko szkody niemajątkowej po stronie użytkowników, polegającej na obawie przed utratą kontroli nad danymi i kradzieżą tożsamości.