PUODO: ~5,9 mln zł kary dla Glovo za zbieranie skanów dokumentów tożsamości

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę w wysokości 5 898 064 zł na spółkę Restaurant Partner Polska (właściciel platformy Glovo). Jako powód wskazano pozyskiwanie od użytkowników aplikacji skanów oraz zdjęć dowodów tożsamości, które w ocenie urzędu zachodziło bez podstawy prawnej.

TLDR:

• Spółka powoływała się na “uzasadniony interes” (art. 6 ust. 1 lit. f RODO) argumentując, że żądała skanów tylko w ramach procedury antyfraudowej.
• Urząd uznał jednak zakres danych z dokumentów za nadmiarowy i nieproporcjonalny.
• Ustawa AML oraz ustawa o świadczeniu usług drogą elektroniczną nie mają tu zastosowania i nie stanowią podstawy do przetwarzania takich danych.
• Kara: ~5,9 mln zł + nakaz usunięcia danych i zaprzestanie ich przetwarzania. Decyzja jest nieprawomocna.

Sprawa jest następstwem kontroli z 2022 roku, gdy urzędnicy badali sposób przetwarzania danych użytkowników aplikacji mobilnej “Glovo – dostawa jedzenie i inne”. Sprawdzano podstawy prawne dla procesów przetwarzania danych, ich cele oraz zakres.

W toku kontroli ustalono, że w ramach zabezpieczeń antyfraudowych, przy podejrzeniu oszustwa spółka wymagała dodatkowej weryfikacji użytkownika i żądała przesłania zdjęcia awersu karty kredytowej/debetowej (z widocznymi pierwszymi 6 lub 4 ostatnimi cyframi oraz nazwiskiem posiadacza) albo skanu lub zdjęcia dokumentu tożsamości.

Miało to miejsce w sytuacji, gdy kurier dowożący przesyłkę zgłosił próbę kradzieży zamówienia przez klienta, użycie fałszywych pieniędzy czy niezgodność danych karty płatniczej z danymi użytkownika. Procedury antyfraudowe uruchamiano również w przypadku podejrzenia, że w zleconej przesyłce mogą znajdować się środki prawnie zabronione. Spółka opracowała w tym celu instrukcję działania dla pracowników, w której zawarto zasady i proces weryfikacji użytkowników.

Jako podstawę prawną takiego działania spółka wskazywała art. 6 ust. 1 lit. f RODO (przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora), argumentując że uzasadnionym interesem była w tym przypadku weryfikacja tożsamości osoby podejrzanej o oszustwo. Zaznaczono również, że sytuacje w których żądano dokumentu były jedynie wyjątkami oraz że uprzednio wykonano ocenę skutków dla ochrony danych (Data Protection Impact Assessment), a także test równowagi (Legitimate Interests Assessment).

Choć spółka deklarowała, że realizuje zasadę rozliczalności (w toku kontroli przedstawiono urzędnikom procedury antyfraudowe, DPIA, LIA oraz raporty z wykonywanych weryfikacji), prezes UODO nie podzielił argumentacji o zgodności z prawem takiego przetwarzania.

Powoływanie się na uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO oceniono jako niewystarczające, biorąc pod uwagę szeroki zakres przetwarzanych danych osobowych (praktycznie wszystkie informacje z dokumentów tożsamości użytkowników).

Prezes UODO wskazał, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa. W uzasadnieniu decyzji wskazano, że uprawnienia takie przyznaje ustawa AML (ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu), jednak kontrolowana spółka nie należy do grona instytucji obowiązanych, którym przysługują one w ramach stosowania szczególnych środków bezpieczeństwa. 

Podkreślono także, że takie działania nie mieszczą się w granicach ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, a więc nie można uznać przepisów tej ustawy za podstawę prawną dla tego procesu przetwarzania. Organ uznał, że żądanie takich danych nie było niezbędne do zawarcia ani realizacji umowy między stronami, a przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych.

W konsekwencji Prezes UODO stwierdził naruszenie przez spółkę art. 6 ust. 1 RODO (przetwarzanie nadmiarowych danych bez podstawy prawnej i w zakresie nieadekwatnym do założonych celów) i decyzją DKN.5112.33.2022 (nieprawomocna) nałożył karę w wysokości 5 898 064 zł.

Przy nakładaniu kary wzięto pod uwagę m.in. długi okres trwania naruszenia – skany dokumentów były pozyskiwane od lipca 2019 r. – oraz potencjalnie szeroką skalę oddziaływania (produkcyjna baza danych w trakcie kontroli obejmowała ponad 3,4 mln aktywnych polskich użytkowników). Wskazano też realne ryzyko szkody niemajątkowej – obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.

W komunikacie na stronie urzędu podkreślono, że nawet przy podejrzeniu oszustwa administrator ma obowiązek przestrzegania prawa, a stosowane procedury antyfraudowe nie mogą prowadzić do pozyskiwania nadmiarowych danych bez podstawy prawnej.

UODO nakazał spółce zaprzestanie pozyskiwania oraz dalszego przetwarzania skanów i zdjęć dokumentów tożsamości użytkowników aplikacji Glovo oraz usunięcie zebranych w ten sposób danych. Decyzja jest nieprawomocna. 

Nie jest to pierwsza sytuacja, w której gromadzone są nadmiarowo skany dokumentów tożsamości. W sierpniu 2025 r. Prezes UODO ukarał za takie działania ING Bank Śląski, o czym pisaliśmy na sekuraku. Była to druga największa (18,4 mln złotych) kara nałożona przez organ.

Źródła:

• uodo.gov.pl
• orzeczenia.uodo.gov.pl

~Tymoteusz Jóźwiak