1 dzień temu
Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 5 898 064 zł na spółkę Restaurant Partner Polska, operatora platformy Glovo w Polsce. Decyzja dotyczy naruszenia przepisów RODO w zakresie przetwarzania danych osobowych użytkowników aplikacji.
Z ustaleń UODO wynika, iż spółka pozyskiwała skany lub zdjęcia dokumentów tożsamości użytkowników, w tym dowodów osobistych, bez odpowiedniej podstawy prawnej. Działania te miały miejsce w sytuacjach uznanych przez firmę za podwyższone ryzyko, m.in. przy podejrzeniach oszustwa, niezgodności danych płatniczych, zgłoszeniach dotyczących prób wyłudzenia zamówień czy podejrzeń związanych z zawartością przesyłek.
Spółka wskazywała jako podstawę prawną tzw. prawnie uzasadniony interes administratora, wynikający z art. 6 ust. 1 lit. f RODO. UODO uznał jednak, iż w tym przypadku nie spełnia on wymagań legalnego przetwarzania danych, ze względu na zakres informacji pozyskiwanych z dokumentów tożsamości.
Urząd podkreślił, iż kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie przez podmioty uprawnione na podstawie przepisów prawa oraz w ściśle określonych sytuacjach.
Zakres danych przetwarzanych przez spółkę obejmował m.in. imię i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, daty jego wydania i ważności, adres zamieszkania oraz wizerunek.
Według UODO naruszenie miało charakter długotrwały – procedura obowiązywała od lipca 2019 roku – oraz mogło dotyczyć szerokiej grupy użytkowników. W Polsce z aplikacji korzysta ponad 3,4 mln aktywnych użytkowników.
Organ nadzorczy wskazał również na ryzyko związane z utratą kontroli nad danymi osobowymi oraz potencjalne zagrożenie kradzieżą tożsamości.
W decyzji nakazano spółce zaprzestanie pozyskiwania oraz przetwarzania skanów i zdjęć dokumentów tożsamości, a także usunięcie danych zgromadzonych w ten sposób w terminie 30 dni od doręczenia decyzji.
