Sprawa wyszła na jaw po kontroli Prezesa UODO, w ramach której sprawdzono między innymi sposób przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”.
Glovo domagało się przesłania skanu lub zdjęcia dowodu tożsamości
Prezes UODO ustalił, że w sytuacjach podejrzenia oszustwa spółka przeprowadzała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.
Zobacz również
Jako podstawę prawną swojego działania Glovo wskazywało art. 6 ust. 1 lit. f RODO, czyli artykuł dotyczący przetwarzania niezbędnego do celów wynikających z prawnie uzasadnionego interesu administratora, tj. w tym przypadku weryfikacji tożsamości osoby podejrzanej o oszustwo. Argumentowano też, że przypadki żądania dokumentu były stosowane wyjątkowo, zaś przetwarzanie było poprzedzone oceną skutków dla ochrony danych oraz testem równowagi.
Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na „uzasadniony interes administratora” było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości.
Prezes Urzędu wskazał, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa, do których nie należy Restaurant Partner Polska.
UOKiK stawia zarzuty HBO Europe: użytkownicy płacą, choć nie oglądają
Prezes UODO zaznaczył także, że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych. Wziął pod uwagę przepisy ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, która przewiduje szczególny reżim ochronny wobec dokumentów publicznych pierwszej kategorii, do których należą dowód osobisty oraz paszport. W związku z tym działania spółki można uznać za wątpliwe również z perspektywy wykładni przepisów ustawy, której celem jest ochrona najistotniejszych dokumentów publicznych.
Słuchaj podcastu NowyMarketing
Kara dla Glovo
Na spółkę nałożono karę w wysokości 5 898 064 zł, która uwzględnia charakter i wagę naruszenia, długi okres jego trwania – od lipca 2019 r. – oraz potencjalnie szeroką skalę oddziaływania, ponieważ baza danych obejmowała ponad 3,4 mln aktywnych użytkowników w Polsce.
źródło: mat. prasowo, opracowanie: Agata Drynko
