- Email: biuro@kicb.pl
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Czy zamawiając obiad przez aplikację, musisz przesłać zdjęcie swojego dowodu osobistego? Taka praktyka stała się osią sporu, który zakończył się jedną z najwyższych kar w historii polskiej ochrony danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO), nałożył na spółkę Restaurant Partner Polska (właściciela platformy Glovo) administracyjną karę pieniężną w astronomicznej kwocie 5 898 064 zł. Wyjaśniamy szczegóły decyzji DKN.5112.33.2022.
Z ustaleń kontroli UODO wynika, że Glovo stosowało procedurę dodatkowej weryfikacji tożsamości w sytuacjach, które uznawało za podejrzane. System wymagał od użytkownika przesłania skanu lub zdjęcia dokumentu tożsamości, gdy np.: kurier zgłosił próbę kradzieży zamówienia przez klienta, pojawiło się podejrzenie użycia fałszywych pieniędzy, dane karty płatniczej nie zgadzały się z danymi użytkownika, bądź istniało przypuszczenie, że w przesyłce znajdują się nielegalne substancje.
Spółka broniła się, twierdząc, że działa w ramach „prawnie uzasadnionego interesu administratora” (art. 6 ust. 1 lit. f RODO), a zbieranie danych było poprzedzone testami równowagi.
Prezes UODO nie podzielił tej argumentacji. W oficjalnym uzasadnieniu wskazał brak podstawy prawnej i podkreślił, że kopiowanie dokumentów tożsamości to domena ściśle określonych instytucji (np. banków w ramach walki z praniem pieniędzy). Glovo nie jest taką instytucją. UODO stwierdził również naruszenie zasady minimalizacji. Żądanie pełnego skanu dowodu (z numerem PESEL, nazwiskiem rodowym, imionami rodziców czy wizerunkiem) do weryfikacji tożsamości przy zamawianiu jedzenia to dane nadmiarowe i nieadekwatne do celu. Urząd zwrócił także uwagę, że dowód osobisty i paszport podlegają szczególnej ochronie. Gromadzenie ich kopii przez prywatną firmę kurierską godzi w bezpieczeństwo tych dokumentów. „Przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych” – zaznaczył organ nadzorczy.
Wysokość kary – blisko 6 milionów złotych – odzwierciedla powagę sytuacji. UODO wziął pod uwagę, że praktyka ta trwała od lipca 2019 roku, a baza aktywnych użytkowników Glovo w Polsce przekracza 3,4 miliona osób. Skala potencjalnej szkody (np. ryzyka kradzieży tożsamości w przypadku wycieku takich danych) jest więc ogromna.
Decyzja Prezesa UODO to nie tylko kara finansowa. Spółka otrzymała nakaz natychmiastowego zaprzestania pozyskiwania skanów dowodów i paszportów. oraz usunięcia wszystkich zebranych dotychczas kopii dokumentów w ciągu 30 dni od doręczenia decyzji.
Sprawa Glovo to jasny sygnał dla rynku e-commerce. Jeśli firma chce weryfikować tożsamość, musi znaleźć sposób, który nie narusza prywatności i nie gromadzi wrażliwych danych na zapas. Dla nas, użytkowników, to z kolei przypomnienie, że mamy prawo odmówić przekazania skanu dowodu, jeśli czujemy, że żądanie jest nieproporcjonalne.
Oficjalna decyzja Prezesa UODO z dnia 13 marca 2024 r. (sygn. DKN.5112.33.2022).
Najnowsze komentarze