Platforma Glovo z 5,9 mln złotych kary
Bezprawne pozyskiwanie zdjęć dowodów tożsamości użytkowników aplikacji zarzuca platformie Glovo Prezes Urzędu Ochrony Danych Osobowych. Platforma dostała za to karę pieniężną w wysokości prawie sześciu milionów złotych.
Według UODO spółka Restaurant Partner Polska, prowadząca platformę Glovo, naruszyła przepisy o ochronie danych osobowych. Główny zarzut to pozyskiwanie bez podstawy prawnej skanów oraz zdjęć dowodów tożsamości użytkowników aplikacji mobilnej służącej głównie do zamawiania posiłków. W decyzji Prezes UODO Mirosław Wróblewski nałożył na spółkę 5 898 064 złotych administracyjnej kary pieniężnej.
Po co spółce były te dane osobowe? W sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.
Potrzebne do weryfikacji
Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f rozporządzenia RODO, czyli przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora (weryfikacja tożsamości osoby podejrzanej o oszustwo), a ponadto podkreślała, że dokumentu tożsamości wymagano jedynie w wyjątkowych sytuacjach.
Prezes UODO był odmiennego zdania. Uznał, że powołanie się przez spółkę na »uzasadniony interes administratora« było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości. Kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa. Tymczasem administrator pozyskiwał pełne dane osobowe zawarte w dokumencie tożsamości - tj. imię, nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie.
Wieloletni proceder
Spółce nakazano też oczywiście zaprzestanie pozyskiwania oraz przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w ciągu 30 dni od doręczenia decyzji.
UODO wyjaśnił, że kara nałożona na spółkę uwzględnia charakter i wagę naruszenia oraz długi okres jego trwania, gdyż proceder trwał od lipca 2019 r. Ponadto uwzględniono też potencjalnie szeroką skalę oddziaływania. Baza danych aplikacji to ponad 3,4 mln aktywnych użytkowników w Polsce. UODO podkreślał, że istniało realne ryzyko obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
