5,9 mln zł kary dla Glovo od Prezesa UODO – ważna lekcja dla biznesu

Prezes UODO nałożył blisko 5,9 mln zł kary na Restaurant Partner Polska (Glovo) za bezprawne pozyskiwanie skanów i zdjęć dokumentów tożsamości użytkowników.

Spółka sięgała po takie dane m.in. przy podejrzeniach oszustwa, powołując się na „uzasadniony interes” (art. 6 ust. 1 lit. f RODO). Organ nie miał jednak wątpliwości – zakres danych z dowodów (PESEL, adres, wizerunek) był zdecydowanie nadmiarowy, a wskazana podstawa prawna nieadekwatna.

Co z tego wynika dla firm?

• „Uzasadniony interes” ≠ zgoda na wszystko

• Minimalizacja danych to nie teoria – także w działaniach antyfraudowych

• Kopiowanie dokumentów tożsamości jest zarezerwowane dla ściśle określonych podmiotów (np. AML)

Co więcej, UODO nakazał usunięcie pozyskanych danych i zaprzestanie tej praktyki.

Wniosek?

Projektując procedury antyfraudowe, łatwo wpaść w pułapkę „im więcej danych, tym bezpieczniej”. Ta decyzja pokazuje, że bywa dokładnie odwrotnie.