Nie można kopiować dokumentów bez podstawy prawnej - kara dla Glovo

Spółka Restaurant Partner Polska prowadząca platformę Glovo naruszyła przepisy o ochronie danych osobowych, gdyż bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji mobilnej, służącej m.in. do zamawiania posiłków. Prezes UODO Mirosław Wróblewski za naruszenie przepisów o ochronie danych osobowych nałożył na nią administracyjną karę pieniężną w wysokości 5 898 064 zł.

Sprawa była następstwem kontroli Prezesa UODO obejmującej sposób przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”. Organ nadzorczy zbadał podstawy prawne, cele i zakres przetwarzania danych użytkowników aplikacji.

Jak ustalił Prezes UODO, w sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.

Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO, czyli na przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora, tj. w tym przypadku weryfikacji tożsamości osoby podejrzanej o oszustwo. Argumentowała też, że przypadki żądania dokumentu były stosowane wyjątkowo, zaś przetwarzanie było poprzedzone oceną skutków dla ochrony danych oraz testem równowagi.

Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na „uzasadniony interes administratora” było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości.

Prezes Urzędu wskazał, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa – taka podstawa mogłaby zaś wynikać z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, która jednak przyznaje takie uprawnienia wyłącznie wskazanym w niej instytucjom. Restaurant Partner Polska nie należy do tej kategorii podmiotów, dlatego nie może powoływać się na takie kompetencje.

Również ustawa z dnia 18 lipca 2002 r o świadczeniu usług drogą elektroniczną nie stanowi w tym przypadku podstawy prawnej do przetwarzania pełnych skanów dokumentów tożsamości. Organ nadzorczy uznał, że żądanie takich danych nie było niezbędne do zawarcia, kształtowania ani realizacji lub rozwiązania umowy między stronami. Przetwarzanie danych dla weryfikacji tożsamości nie zmierzało również do celów zdefiniowanych w tej ustawie. Prezes UODO zaznaczył także, że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych. Wziął również pod uwagę przepisy ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, która przewiduje szczególny reżim ochronny wobec dokumentów publicznych pierwszej kategorii, do których należą dowód osobisty oraz paszport. W związku z  tym  działania spółki można uznać za wątpliwe również z perspektywy wykładni przepisów ustawy, której celem jest ochrona najistotniejszych dokumentów publicznych.

W konsekwencji ustaleń Prezes UODO stwierdził, że administrator naruszył art. 6 ust. 1 RODO, gdyż przetwarzał nadmiarowe dane, w dodatku bez podstawy prawnej i nieadekwatne do założonych celów. Zakres danych pozyskiwanych przez administratora obejmował pełne dane osobowe zawarte w dokumencie tożsamości, w tym imię, nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie. W związku z tym naruszył zasady zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji danych (art. 5 ust. 1 lit. a i c RODO).

W ocenie Prezesa UODO brak legalności przetwarzania danych oznacza też naruszenie zasady rozliczalności (art. 5 ust. 2 RODO).

Wymiar kary nałożonej przez Prezesa UODO (5 898 064 zł) uwzględnia charakter i wagę naruszenia, długi okres jego trwania – od lipca 2019 r. – oraz potencjalnie szeroką skalę oddziaływania, ponieważ baza danych obejmowała ponad 3,4 mln aktywnych użytkowników w Polsce. Organ nadzorczy wskazał też na realne ryzyko szkody niemajątkowej w postaci obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.

Prezes Urzędu uznał naruszenie za poważne, gdyż dotyczyło podstawowych zasad przetwarzania danych osobowych. Natomiast kara administracyjna ma zdaniem organu nadzorczego charakter skuteczny, proporcjonalny i odstraszający. Decyzja Prezesa UODO uświadamia również, że nawet w sytuacji podejrzenia oszustwa administrator danych ma obowiązek przestrzegania prawa, a stosowane procedury antyfraudowe nie mogą prowadzić do pozyskiwania nadmiarowych danych bez jednoznacznej podstawy prawnej.

Organ nadzorczy nakazał spółce również zaprzestanie pozyskiwania oraz dalszego przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w terminie 30 dni od doręczenia decyzji.

DKN.5112.33.2022