CyberDefence24
Reklama
  • WIADOMOŚCI

Blisko 6 mln zł kary dla Glovo za nadmiarowe zbieranie danych

Oskar Klimczuk
3 min.

Zbieranie nadmiarowych danych z dokumentów tożsamości spowodowało nałożenie milionowej kary dla firmy prowadzącej platformę Glovo. Prezes UODO uznał, że spółka nie miała podstaw ku przetwarzaniu skanów oraz zdjęć dokumentów tożsamości klientów, nawet w przypadku potencjalnego działania niezgodnego z prawem. Decyzja pokazuje, że ochrona naszej prywatności jest bardzo ważna.

UODO nałożyło ogromną karę dla firmy odpowiedzialnej za Glovo
UODO nałożyło ogromną karę dla firmy odpowiedzialnej za Glovo
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where

16 marca br. Urząd Ochrony Danych Osobowych wydał komunikat dotyczący naruszenia przepisów o ochronie danych przez spółkę Restaurant Partner Polska, prowadzącej platformę Glovo.

PUODO stwierdził, że firma bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji mobilnej, służącej m.in. do zamawiania posiłków”.

Warto podkreślić, że na przedsiębiorstwo nałożono administracyjną karę pieniężną w wysokości 5 898 064 zł.

Firma nie ma prawa do twojego dowodu

Jak czytamy na stronie UODO, Glovo wymagało od swoich klientów dodatkowej weryfikacji z wykorzystaniem skanu lub zdjęcia dowodu tożsamości w sytuacjach określonych jako „podejrzenia oszustwa”. Mowa tutaj m.in. o poniższych przypadkach:

  • próba kradzieży zamówienia przez klienta;
  • użycie fałszywych pieniędzy;
  • niezgodność danych karty płatniczej z danymi użytkownika;
  • podejrzenie występowania nielegalnych substancji w przesyłce.

Firma argumentowała konieczność weryfikacji dowodu tożsamości na bazie art. 6 ust. 1 lit. f RODO, czyli uzasadnionego interesu administratora. Odmienne stanowisko wyraził Prezes UODO, argumentując je szerokim zakresem przetwarzanych danych.

(...) przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na „uzasadniony interes administratora" było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości.
Komunikat UODO
Reklama

Brak podstawy prawnej

Wróblewski zaznaczył, że „kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa”.

Wymieniono w tym przypadku Ustawę z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, podkreślając, że uprawnienia wynikające z tego aktu prawnego przysługują tylko określonym instytucjom, do których Glovo nie należy.

Prezes UODO uznał również, że podanie pełnych skanów dokumentów tożsamości nie było niezbędne dla umów pomiędzy dwoma stronami (klientem a firmą), dlatego nie stosuje się do nich zapisów Ustawy z dnia 18 lipca 2002 r o świadczeniu usług drogą elektroniczną.

Prezes UODO zaznaczył także, że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych.
Komunikat UODO

Naruszenie RODO

W komunikacie wyróżniono kilka artykułów RODO, które naruszyło Glovo podczas zbierania kopii dowodów osobistych. Mowa tutaj o m.in.:

  • zbieraniu nadmiarowych danych bez podstawy prawnej i niezgodnie z celem (art. 6 ust 1 RODO);
  • naruszeniu zasady zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji danych (art. 5 ust. 1 lit. a i c RODO);
  • naruszeniu zasady rozliczalności (art. 5 ust. 2 RODO).

Wysokość kary – prawie 6 milionów złotych – argumentowana jest m.in. długim okresem trwania naruszenia (od lipca 2019 roku) oraz potencjalnie szeroką skalą oddziaływania (3,4 mln aktywnych użytkowników).

Reklama

Co to oznacza?

Decyzja Prezesa Urzędu Ochrony Danych Osobowych daje nam jasny komunikat: nie można ingerować w prywatność osób fizycznych poprzez zbieranie nadmiarowych danych. Każde żądanie musi opierać się o podstawę prawną.

Niedawno PUODO stwierdził niezgodność polskich przepisów dot. retencji danych z unijnym prawem, m.in. poprzez prewencyjne podejście do zbierania i przechowywania informacji. „Obecnie polskie telekomy mają obowiązek gromadzić „teczki” na każdą i każdego (czyli informacje o tym, gdzie byłeś i z kim rozmawiałeś przez ostatnie 12 miesięcy)podkreślał Panoptykon w 2025 roku.

„Organ nadzorczy wskazał też na realne ryzyko szkody niemajątkowej w postaci obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości. (…) nawet w sytuacji podejrzenia oszustwa administrator danych ma obowiązek przestrzegania prawa, a stosowane procedury antyfraudowe nie mogą prowadzić do pozyskiwania nadmiarowych danych bez jednoznacznej podstawy prawnej” – kwituje UODO w przywołanym komunikacie.

Glovo zostało zobowiązane do niezwłocznego zaprzestania pozyskiwania i przetwarzania danych oraz usunięcie zebranych informacji w ciągu 30 dni od doręczenia decyzji.

Więcej o roli prywatności i wolności w kontekście bezpieczeństwa napisaliśmy w artykule na naszych łamach.

Oskar Klimczuk

Zobacz również

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Cyfrowy Senior. Jak walczy się z oszustami?

Czytaj także

PKP Intercity ogłosiło przetarg związany ze świadczeniem usług VPN/MPLS oraz wsparciem technicznym. Czteroletni kontrakt ma być warty ok. 2,4 miliona złotych.
2 min.
Przetarg PKP Intercity na telekomunikację. Chodzi o internet
Paweł Makowiec Paweł Makowiec
2 min.
iran Moskwa rosja Ukraina wojna na bliskim wschodzie
2 min.
Rosja wykorzystuje wojnę na Bliskim Wschodzie. Kampania przeciwko Ukrainie
Szymon Palczewski
2 min.
Jeden z powiatowych urzędów pracy poinformował o naruszeniu ochrony danych osobowych. Incydent dotyczy hostingodawcy e-mail
6 min.
Ponad 40 polskich urzędów publikowało PESEL-e w BIP. Oto co znaleźliśmy
Oskar Klimczuk
6 min.
Wojskowa Akademia Techniczna
3 min.
Chińskie kamery na wojskowej uczelni. WAT tłumaczy
Szymon Palczewski
3 min.
cbzc policja polska
1 min.
Wyłudzili ponad 2,6 mln zł. To koniec grupy oszustów
Szymon Palczewski
1 min.
Fałszywe zdjęcia przypisywane aktom Epsteina, krążą w sieci jako rzekome dowody skandalu. W rzeczywistości wszystkie zostały one wygenerowane przez sztuczną inteligencję
5 min.
1
#CyberMagazyn: Akta Epsteina w erze AI. Fałszywe zdjęcia zaczynają żyć własnym życiem
Zuzanna Sadowska
5 min.
1
Komisja Europejska miała otrzymać od X plan naprawczy w związku z karą nałożoną za naruszenie DSA. Nie wiadomo jednak do końca, co się w nim znalazło.
1 min.
X przedstawił KE plan naprawczy. Chodzi o karę ws. DSA
Paweł Makowiec Paweł Makowiec
1 min.
Międzynarodowa operacja służb rozbiła platformę SocksEscort. Za jej pośrednictwem cyberprzestępcy sprzedawali dostęp do routerów zainfekowanych malware i zamienionych w proxy.
2 min.
1
Zhakowali tysiące routerów. Rozbito przestępczą platformę
Paweł Makowiec Paweł Makowiec
2 min.
1
CyberDefence24