Według UODO spółka Restaurant Partner Polska, prowadząca platformę Glovo, naruszyła przepisy o ochronie danych osobowych, gdyż bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji mobilnej, służącej m.in. do zamawiania posiłków.
Prezes UODO Mirosław Wróblewski za naruszenie przepisów o ochronie danych osobowych nałożył na nią administracyjną karę pieniężną w wysokości 5 898 064 zł - przekazał Urząd w komunikacie.
Były ambasador RP: upadek Putina może wywołać rozpad Rosji
Jak ustalono, w sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.
UODO wyjaśnił, że spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO - przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora. W tym przypadku chodzi o weryfikację tożsamości osoby podejrzanej o oszustw - wskazał. Firma argumentowała też, że dokumentu wymagano w wyjątkowych sytuacjach.
"Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na 'uzasadniony interes administratora' było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości" - wskazał UODO, dodając, że administrator naruszył art. 6 ust. 1 RODO.
Zdaniem prezesa Urzędu kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez "konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa".
Jak wskazano w komunikacie, administrator pozyskiwał pełne dane osobowe zawarte w dokumencie tożsamości - tj. imię, nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie.
UOKiK: kara uwzględnia charakter i wagę naruszenia
UODO wyjaśnił, że kara nałożona na spółkę "uwzględnia charakter i wagę naruszenia" oraz długi okres jego trwania, bo proceder trwał od lipca 2019 r. Uwzględniono też "potencjalnie szeroką skalę oddziaływania", bo baza danych aplikacji to ponad 3,4 mln aktywnych użytkowników w Polsce. Urząd wskazał też na "realne ryzyko obawy użytkowników" aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.
Spółce nakazano też zaprzestanie pozyskiwania oraz przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w ciągu 30 dni od doręczenia decyzji.