Właściciel platformy do zamawiania jedzenia i zakupów poważnie naraził się UODO. Prezes instytucji nałożył na spółkę zarządzającą Glovo bardzo wysoką karę.
Glovo wymagało od użytkowników przesłania skanów dokumentów tożsamości
Spółka Restaurant Partner Polska, zarządzająca platformą Glovo, służącą do zamawiania zakupów, leków i innych produktów, naraziła się Urzędowi Ochrony Danych Osobowych. Podczas przeprowadzanej przez Prezesa UODO kontroli, obejmującej sposób przetwarzania danych użytkowników aplikacji mobilnej, okazało się, że spółka w niektórych przypadkach wymagała przesłania zdjęcia bądź skanu dokumentu tożsamości.
Do takich szczególnych sytuacji należało m.in. zgłoszenie przez dostawcę próby kradzieży zamówienia przez klienta, użycia do zapłaty fałszywych pieniędzy, karty płatniczej niezgodnej z danymi użytkownika lub gdy istniało podejrzenie obecności nielegalnych substancji wewnątrz przesyłki. Według spółki zarządzającej Glovo podstawą prawną takich działań był art. 6 ust. 1 lit. f RODO, mówiący o przetwarzaniu niezbędnym do celów wynikających z prawnie uzasadnionego interesu administratora, a więc w tym przypadku osoby podejrzanej o oszustwo.
Firma argumentowała też, że wymóg przedstawienia skanu lub zdjęcia dokumentu był rzadkim procesem. Ponadto takie przetwarzanie było poprzedzone oceną skutków dla ochrony danych oraz testem równowagi.
Prezes UODO nałożył wysoką karę na Glovo – dlaczego?
UODO jednak miało inne zdanie na ten temat. Według instytucji powołanie się na uzasadniony interes administratora nie było w takich sytuacjach usprawiedliwione w świetle danych zapisanych w dokumentach tożsamości. Kopiowanie oraz przechowywanie skanów lub zdjęć dokumentów powinno znajdować zastosowanie wyłącznie w wyjątkowych wypadkach i prowadzone przez ustawowo upoważnione podmioty. Jak podkreśla Urząd Ochrony Danych Osobowych, spółka Restaurant Partner Polska do takich nie należy.
Prezes UODO uznał, iż przedsiębiorstwo przetwarzało nadmiarowe dane bez podstawy prawnej i nieadekwatnie do założonych celów. Ponadto wspomniał m.in., że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych. Warto wspomnieć, że zakres danych pochodzących z dokumentu tożsamości może obejmować imiona, nazwiska, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer danego dokumentu wraz z jego datą wydania i ważności oraz wizerunek.
Zgodnie z decyzją Prezesa UODO, właściciel Glovo naruszał zasadę rozliczalności (art. 5 ust. 2 RODO). Wobec tego instytucja nałożyła na spółkę karę w wysokości 5 898 064 złotych, która uwzględnia charakter, wagę naruszenia i czas trwania od lipca 2019 roku.
Warto przypomnieć, że UODO nie jest jedyną instytucją, której właściciel Glovo się naraził. W maju 2023 roku spółka podpadła też UOKIK-owi.
