Prezes UODO nałożył na Restaurant Partner Polska (platforma Glovo) rekordową karę 5 898 064 zł za nielegalne pozyskiwanie i przetwarzanie skanów dowodów tożsamości użytkowników aplikacji – bez podstawy prawnej. Spółka podejrzewając oszustwo po stronie klienta żądała jego pełnych danych (PESEL, adres, wizerunek), naruszając tym zasadę minimalizacji dnaych i zgodność z prawem.
Prezes UODO po kontroli aplikacji Glovo (dostawa jedzenia) stwierdził nielegalne pozyskiwanie skanów i zdjęć dowodów tożsamości użytkowników. Spółka żądała ich exceptionally w podejrzeniach oszustwa, np. kradzieży zamówienia, fałszywych pieniędzy czy nielegalnych substancji zgłoszonych przez kurierów.
Baza objęła ponad 3,4 mln aktywnych użytkowników w Polsce od lipca 2019 r. Dane z dokumentów zawierały imię, nazwisko, PESEL, adres, wizerunek i więcej – bez minimalizacji danych.
Glovo powoływał się na uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), twierdząc, że weryfikacja tożsamości jest niezbędna do ochrony przed fraudem. Przeprowadzili ocenę skutków (DPIA) i test równowagi.
UODO odrzucił te argumenty, uznał, iż kopiowanie dokumentów tożsamości bez podstawy prawnej jest niedopuszczalne. Spółka nie jest podmiotem z ustawy o przeciwdziałaniu praniu pieniędzy (nie ma kompetencji do żądania skanów). Ustawa o usługach elektronicznych nie uzasadnia przetwarzania dla weryfikacji – nie jest niezbędne do umowy.
Naruszono art. 5 ust. 1 lit. c RODO (minimalizacja) – pełne skany zawierały nadmiar danych, nieadekwatne do celu. UODO podkreślił ochronę dokumentów publicznych (ustawa o dokumentach publicznych): dowody i paszporty to kategoria pierwsza, wymagająca wyjątkowego reżimu.
Dodatkowo złamano zasady zgodności z prawem, rzetelności, przejrzystości (art. 5 ust. 1 lit. a RODO) i rozliczalności (art. 5 ust. 2 RODO).
Prezes Urzędu uznał naruszenie za poważne, gdyż dotyczyło podstawowych zasad przetwarzania danych osobowych. Natomiast kara administracyjna ma zdaniem organu nadzorczego charakter skuteczny, proporcjonalny i odstraszający. Decyzja Prezesa UODO uświadamia również, że nawet w sytuacji podejrzenia oszustwa administrator danych ma obowiązek przestrzegania prawa, a stosowane procedury antyfraudowe nie mogą prowadzić do pozyskiwania nadmiarowych danych bez jednoznacznej podstawy prawnej.
Wymiar kary nałożonej przez Prezesa UODO (5 898 064 zł) uwzględnia charakter i wagę naruszenia, długi okres jego trwania – od lipca 2019 r. – oraz potencjalnie szeroką skalę oddziaływania, ponieważ baza danych obejmowała ponad 3,4 mln aktywnych użytkowników w Polsce. Organ nadzorczy wskazał też na realne ryzyko szkody niemajątkowej w postaci obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.
Źródło: UODO, DKN.5112.33.2022
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl