Prezes Urzędu Ochrony Danych Osobowych (UODO), nałożył karę w wysokości 5 898 064 złotych na spółkę, która prowadzi popularną platformę Glovo. Kara została nałożona w związku z bezprawnym pozyskiwaniem zdjęć i skanów dokumentów tożsamości użytkowników aplikacji mobilnej. Powodem nałożenia kary były nieprawidłowości ustalone przez regulatora podczas przeprowadzonej kontroli u administratora.
Problem dodatkowej weryfikacji
Glovo to popularna aplikacja mobilna służąca do zamawiania posiłków. W ramach aplikacji administrator przewidział specjalną procedurę dodatkowej weryfikacji użytkowników, w przypadku gdy zachodziło podejrzenie np. oszustwa. Procedura stosowana była m.in. w razie użycia przez użytkowania fałszywych pieniędzy lub wystąpienia podejrzenia, że dostawa zawiera substancje nielegalne. Weryfikacja polegała na tym, że użytkownik zobowiązany był do przesłania w aplikacji zdjęcia lub skanu swojego dokumentu tożsamości.
W 2022 r. organ nadzorczy przeprowadził działania kontrolne u administratora. Regulator skupił się na kwestii przetwarzania danych osobowych użytkowników aplikacji Glovo. W toku kontroli zbadane zostały cele, zakres i podstawy prawne przetwarzania danych użytkowników aplikacji. Szczególną uwagę organu nadzorczego wzbudziła jednak kwestia ww. dodatkowej weryfikacji.
Weryfikacja niezgodna z przepisami RODO
W toku postępowania, spółka podnosiła, że podstawą prawną przetwarzania danych w celu dodatkowej weryfikacji był tzw. prawnie uzasadniony interes administratora, sprowadzający się do możliwości weryfikacji tożsamości osoby podejrzanej o określonego typu działania. Administrator podnosił również, że dla tego procesu został przeprowadzony tzw. test równowagi oraz DPIA, a sama weryfikacja była stosowana w wyjątkowych sytuacjach.
Argumentacja spółki nie przekonała jednak Prezesa UODO. Wskazał on, że kopiowanie i utrwalanie dokumentów tożsamości powinno odbywać się wyłącznie w konkretnych sytuacjach przewidzianych przez przepisy prawa. W tej sytuacji, w ocenie organu, takich przepisów nie było. Zdaniem regulatora, powołanie się na prawnie uzasadniony interes administratora nie wystarcza, żeby usprawiedliwić przetwarzanie danych w taki sposób, jak robiła to spółka.
Naruszenia mogły dotyczyć dużej liczby osób
Prezes UODO uznał, że administrator przetwarzał dane osobowe bez podstawy prawnej. W jego ocenie, poskutkowało to naruszeniem art. 6 RODO, a w konsekwencji również zasad zgodności z prawem, rzetelności, przejrzystości i minimalizacji danych oraz zasady rozliczalności. Regulator zwrócił uwagę, że zakwestionowana praktyka była stosowana przez administratora od dłuższego czasu i mogła ona objąć duża liczbę osób. Bazy danych aplikacji Glovo zawierają bowiem około 3,4 miliona użytkowników. Biorąc pod uwagę okoliczności tej sprawy, organ nadzorczy nałożył na administratora karę w wysokości prawie 6 milionów złotych. Warto zwrócić uwagę, że jest to kolejna wielomilionowa kara nałożona przez regulatora od początku tego roku. Jest to też kolejna kara, która wynika z nieprawidłowości dostrzeżonych przez organ nadzorczy podczas przeprowadzonych działań kontrolnych.
