Prezes UODO nałożył na GLOVO karę w wysokości 5 mln 898 tys. 64 zł. Spółka Restaurant Partner Polska prowadząca platformę Glovo naruszyła przepisy o ochronie danych osobowych, bo bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji.
Firma Restaurant Partner Polska prowadząca platformę Glovo naruszyła przepisy o ochronie danych osobowych, bo bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji.
Jak informuje UODO sprawa była następstwem kontroli Prezesa UODO obejmującej sposób przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”. Organ nadzorczy zbadał podstawy prawne, cele i zakres przetwarzania danych użytkowników aplikacji.
Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO, czyli na przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora. Jednak PUODO ustalił, że administrator naruszył art. 6 ust. 1 RODO, gdyż przetwarzał nadmiarowe dane, w dodatku bez podstawy prawnej i nieadekwatne do założonych celów.
Dlaczego UODO ukarał Glovo? Ustalenia kontroli urzędu.
Prezes UODO ustalił, że „w sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje”.
Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO, czyli na przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora, tj. w tym przypadku weryfikacji tożsamości osoby podejrzanej o oszustwo. Argumentowała też, że przypadki żądania dokumentu były stosowane wyjątkowo, zaś przetwarzanie było poprzedzone oceną skutków dla ochrony danych oraz testem równowagi.
Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na „uzasadniony interes administratora” było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości.
UODO: Glovo bez podstawy prawnej przetwarzało dane z dokumentów tożsamości
Prezes Urzędu wskazał, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa – taka podstawa mogłaby zaś wynikać z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, która jednak przyznaje takie uprawnienia wyłącznie wskazanym w niej instytucjom. Restaurant Partner Polska nie należy do tej kategorii podmiotów, dlatego nie może powoływać się na takie kompetencje.
Jego zdaniem, również ustawa z dnia 18 lipca 2002 r o świadczeniu usług drogą elektroniczną nie stanowi w tym przypadku podstawy prawnej do przetwarzania pełnych skanów dokumentów tożsamości. Organ nadzorczy uznał, że żądanie takich danych nie było niezbędne do zawarcia, kształtowania ani realizacji lub rozwiązania umowy między stronami. Przetwarzanie danych dla weryfikacji tożsamości nie zmierzało również do celów zdefiniowanych w tej ustawie.
Prezes UODO zaznaczył także, że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych. Wziął również pod uwagę przepisy ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, która przewiduje szczególny reżim ochronny wobec dokumentów publicznych pierwszej kategorii, do których należą dowód osobisty oraz paszport.
W konsekwencji ustaleń Prezes UODO stwierdził, że administrator naruszył art. 6 ust. 1 RODO, gdyż przetwarzał nadmiarowe dane, w dodatku bez podstawy prawnej i nieadekwatne do założonych celów. Zakres danych pozyskiwanych przez administratora obejmował pełne dane osobowe zawarte w dokumencie tożsamości, w tym imię, nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie. W związku z tym naruszył zasady zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji danych (art. 5 ust. 1 lit. a i c RODO).
W ocenie Prezesa UODO brak legalności przetwarzania danych oznacza też naruszenie zasady rozliczalności (art. 5 ust. 2 RODO).
Wymiar kary nałożonej przez Prezesa UODO (5 898 064 zł) uwzględnia charakter i wagę naruszenia, długi okres jego trwania – od lipca 2019 r. – oraz potencjalnie szeroką skalę oddziaływania, ponieważ baza danych obejmowała ponad 3,4 mln aktywnych użytkowników w Polsce. Organ nadzorczy wskazał też na realne ryzyko szkody niemajątkowej w postaci obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.
Prezes Urzędu uznał naruszenie za poważne, gdyż dotyczyło podstawowych zasad przetwarzania danych osobowych.
Organ nadzorczy nakazał spółce również zaprzestanie pozyskiwania oraz dalszego przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w terminie 30 dni od doręczenia decyzji.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu