Wielomilionowa kara dla Glovo. Poszło o skany i zdjęcia dowodów
Operator aplikacji Glovo ma zapłacić wysoką karę finansową. Urząd Ochrony Danych Osobowych uznał procedury firmy za niezgodne z prawem. Chodzi o nielegalne gromadzenie danych klientów.
Miliony złotych do zapłaty
Prezes Urzędu Ochrony Danych Osobowych nałożył karę na spółkę Restaurant Partner Polska. Grzywna wynosi dokładnie 5 898 064 zł. Ukarana firma zarządza w Polsce aplikacją do zamawiania jedzenia Glovo.
Powodem decyzji jest pozyskiwanie skanów i zdjęć dowodów osobistych bez podstawy prawnej. Praktyka ta trwała od lipca 2019 roku. Urząd przeprowadził w firmie kontrolę sposobów przetwarzania informacji o użytkownikach.
Platforma żądała przesłania dokumentów w sytuacjach podejrzenia oszustwa. Weryfikacji wymagano na przykład przy próbie kradzieży zamówienia lub użyciu fałszywych pieniędzy. Podobnie było w przypadku niezgodności danych karty płatniczej. Dodatkowych kroków podejmowano także przy podejrzeniu transportu nielegalnych substancji.
Tłumaczenia firmy odrzucone
Spółka powoływała się na przepisy RODO. Wskazywała na swój prawnie uzasadniony interes w walce z nadużyciami. Twierdziła przy tym, że prośby o dokument tożsamości zdarzały się wyjątkowo.
Prezes UODO całkowicie odrzucił te argumenty. Uznał, że interes firmy nie usprawiedliwia zbierania tak szerokiego zakresu informacji. Kopiowanie dokumentów jest dozwolone wyłącznie w ściśle określonych sytuacjach.
Prawo daje takie uprawnienia tylko wybranym instytucjom. Zalicza się do nich podmioty objęte ustawą o przeciwdziałaniu praniu pieniędzy. Operator aplikacji do zamawiania posiłków nie ma tego typu kompetencji.
Zbyt duża ilość informacji
Urząd zwrócił uwagę na złamanie zasady minimalizacji danych. Dowód osobisty czy paszport to dokumenty podlegające szczególnej ochronie. Zawierają one numer PESEL, nazwisko rodowe, imiona rodziców oraz wizerunek. Zbieranie tych detali nie było firmie niezbędne do świadczenia usług.
Skala naruszenia przepisów była bardzo szeroka. Baza platformy w Polsce liczy ponad 3,4 miliona aktywnych użytkowników. Urząd zaznaczył, że klienci mogli odczuwać realną obawę przed kradzieżą tożsamości.
Oprócz kary finansowej organ nadzorczy nałożył dodatkowe obowiązki. Firma musi natychmiast przestać pozyskiwać skany dokumentów. Spółka ma też 30 dni na całkowite usunięcie wszystkich zebranych do tej pory plików z wizerunkami dowodów.
Decyzja nie jest prawomocna. Jej pełna treść znajduje się pod tym adresem.
