Управління із захисту персональних даних (UODO) наклало на Glovo кількамільйонний штраф за порушення правил захисту персональних даних. Виявилося, що компанія збирала скани документів, що посвідчують особу клієнтів, без належної правової підстави. Проблема могла торкнутися до 3,4 мільйона людей.
Голова Управління із захисту персональних даних (UODO) наклав штраф у розмірі 5 898 064 злотих на компанію, яка керує платформою Glovo у Польщі, за порушення правил Регламенту захисту персональних даних (RODO). Штраф пов’язаний з незаконним отриманням сканів документів, що посвідчують особу користувачів додатку. За даними управління, справа могла торкнутися до 3,4 мільйона користувачів платформи. Згідно з веб-сайтом UODO, Restaurant Partner Polska у певних ситуаціях запитував скан або фотографію документа, що посвідчує особу, такого як посвідчення особи або паспорт. Це стосувалося підозр у зловживаннях, наприклад, спроби шахрайських замовлень, використання підроблених грошей або платіжні дані, які не відповідали даним користувача.
Компанія обґрунтувала ці дії необхідністю перевірки особи. Однак, на думку наглядового органу, цієї правової підстави було недостатньо для отримання такого широкого спектру інформації, що міститься в документах, що посвідчують особу, відповідно до принципу мінімізації даних.
За словами голови Управління захисту персональних даних, копіювання або запис документів, що посвідчують особу, дозволено лише у чітко визначених ситуаціях та суб’єктами, які мають на це пряме право згідно із законом. Платформа доставки їжі не належить до цієї категорії, тому, на думку регулятора, ця практика суперечила принципам RODO.
Розслідування показало, що проблема мала системний характер і могла торкнутися дуже великої групи користувачів додатків. Згідно з висновками регулятора, ризик витоку даних торкнувся приблизно 3,4 мільйона користувачів платформи, що було враховано під час визначення штрафу. Порушення тривали з липня 2019 року.
Наглядовий орган також вказав на реальний ризик нематеріальної шкоди у вигляді страху користувачів додатків втратити контроль над своїми даними та крадіжки особистих даних.
Водночас UODO зобов’язав компанію припинити отримання та подальшу обробку сканів і фотографій посвідчень особи або паспортів користувачів застосунку Glovo та видалити зібрані таким чином дані протягом 30 днів з моменту винесення рішення.
Фото ілюстративне
