Decyzja o nałożeniu kary jest następstwem kontroli Prezesa Urzędu Ochrony Danych Osobowych dotyczącej przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”.
Urzędnicy ustalili, że platforma w sytuacjach podejrzenia oszustwa przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości. Dotyczyło to m.in. zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy czy niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.
Spółka jako podstawę prawną takich działań wskazywała na art. 6 ust. 1 lit. f RODO, czyli na przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora. W tym przypadku chodziło konkretnie o weryfikację tożsamości osoby podejrzanej o oszustwo. Podkreślała też, że przypadki żądania dokumentu były stosowane wyjątkowo, zaś przetwarzanie było poprzedzone oceną skutków dla ochrony danych oraz testem równowagi.
Czytaj więcej
Opłata serwisowa, za małe zamówienie, za dostawę w deszcz. UOKiK postawił popularnej platformie dostarczającej m.in. jedzenie zarzuty za drip pric...
Prezes UODO: powoływanie się na „uzasadniony interes administratora” było niewystarczające
Tych argumentów nie podzielił Prezes UODO. Jego zdaniem powoływanie się na „uzasadniony interes administratora” było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości.
Prezes Urzędu wskazał, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa. Taka podstawa mogłaby wynikać na przykład z ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Jak jednak zaznaczono, przyznaje ona takie uprawnienia wyłącznie wskazanym w niej instytucjom. Spółka Restaurant Partner Polska nie należy do tej kategorii podmiotów, dlatego nie może powoływać się na takie kompetencje.
W konsekwencji Prezes UODO stwierdził, że administrator naruszył art. 6 ust. 1 RODO, gdyż przetwarzał nadmiarowe dane, w dodatku bez podstawy prawnej i nieadekwatne do założonych celów. Naruszenie uznano za poważne, ponieważ dotyczyło podstawowych zasad przetwarzania danych osobowych.
Oprócz zapłaty kary pieniężnej w wysokości 5 898 064 zł, Prezes UODO nakazał spółce zaprzestanie pozyskiwania oraz dalszego przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w terminie 30 dni od doręczenia decyzji.
Czytaj więcej
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zdecydował o nałożeniu na firmę kurierską DPD ponad 11 mln zł kar. Stwierdził, że doszło...
