Według Urzędu Ochrony Danych Osobowych spółka Restaurant Partner Polska, prowadząca platformę Glovo, naruszyła przepisy o ochronie danych osobowych, gdyż bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji mobilnej, służącej m.in. do zamawiania posiłków. "Prezes UODO Mirosław Wróblewski za naruszenie przepisów o ochronie danych osobowych nałożył na nią administracyjną karę pieniężną w wysokości 5 898 064 zł" – przekazał Urząd w komunikacie.
Jak ustalono, w sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.
Dlaczego Glovo wymagał zdjęć dowodów tożsamości
UODO wyjaśnił, że spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO – przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora. W tym przypadku chodzi o weryfikację tożsamości osoby podejrzanej o oszustw – wskazał. Firma argumentowała też, że dokumentu wymagano w wyjątkowych sytuacjach.
"Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na »uzasadniony interes administratora« było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości" – wskazał UODO, dodając, że administrator naruszył art. 6 ust. 1 RODO.
Zdaniem prezesa Urzędu kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez "konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa".
Jak wskazano w komunikacie, administrator pozyskiwał pełne dane osobowe zawarte w dokumencie tożsamości – tj. imię, nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie.
UODO wyjaśnił, że kara nałożona na spółkę "uwzględnia charakter i wagę naruszenia" oraz długi okres jego trwania, bo proceder trwał od lipca 2019 r. Uwzględniono też "potencjalnie szeroką skalę oddziaływania", bo baza danych aplikacji to ponad 3,4 mln aktywnych użytkowników w Polsce. Urząd wskazał też na "realne ryzyko (...) obawy użytkowników" aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.
Spółce nakazano też zaprzestanie pozyskiwania oraz przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w ciągu 30 dni od doręczenia decyzji.
źródło: PAP
