Jak poinformowało UODO, spółka naruszyła przepisy dotyczące ochrony danych osobowych. Firma miała żądać od klientów przesyłania zdjęć lub skanów dowodów osobistych oraz paszportów, mimo że – zdaniem organu nadzorczego – nie posiadała odpowiedniej podstawy prawnej do takiego działania. „Prezes UODO Mirosław Wróblewski za naruszenie przepisów o ochronie danych osobowych nałożył na nią administracyjną karę pieniężną w wysokości 5 898 064 zł” – czytamy w komunikacie Urzędu.

Prawie 6 mln PLN kary dla Glovo od UODO

Z ustaleń UODO wynika, że firma wprowadziła dodatkową procedurę weryfikacji tożsamości użytkowników w sytuacjach, gdy pojawiało się podejrzenie oszustwa.Dotyczyło to m.in. przypadków zgłoszenia przez kuriera próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika czy podejrzenia, że w przesyłce mogą znajdować się nielegalne substancje. W takich sytuacjach użytkownicy byli proszeni o przesłanie zdjęcia lub skanu dokumentu tożsamości.

Spółka wskazywała, że podstawą przetwarzania danych był tzw. uzasadniony interes administratora, o którym mowa w art. 6 ust. 1 lit. f RODO. Według firmy było to konieczne do weryfikacji tożsamości osób podejrzanych o oszustwa, a sam obowiązek przedstawienia dokumentu miał dotyczyć wyłącznie wyjątkowych sytuacji.

„Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na »uzasadniony interes administratora« było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości” – argumentuje UODO wskazując na naruszenie ustawy o RODO.

Jak wskazał urząd, spółka pozyskiwała pełne dane znajdujące się w dokumentach tożsamości, w tym m.in.: imię i nazwisko, nazwisko rodowe i imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie.

UODO podkreślił, że wysokość kary uwzględnia charakter i wagę naruszenia, a także długi okres jego trwania. Proceder miał trwać od lipca 2019 roku. Urząd zwrócił również uwagę na potencjalnie szeroką skalę oddziaływania – baza aplikacji obejmuje ponad 3,4 mln aktywnych użytkowników w Polsce. Według nadzorcy mogło to wywoływać realne obawy klientów dotyczące utraty kontroli nad swoimi danymi czy ryzyka kradzieży tożsamości.

W decyzji nakazano spółce zaprzestanie pozyskiwania skanów i zdjęć dokumentów tożsamości użytkowników aplikacji oraz usunięcie danych zebranych w ten sposób w ciągu 30 dni od doręczenia decyzji.