Сервис доставки Glovo получил крупный штраф за нарушение правил защиты персональных данных. Председатель Управления по защите персональных данных (UODO) наложил на компанию Restaurant Partner Polska, которая управляет платформой Glovo, административный штраф в размере 5 898 064 злотых. Ведомство пришло к выводу, что компания без законного основания собирала сканы и фотографии документов, удостоверяющих личность пользователей приложения.
По оценке UODO, нарушение могло затронуть до 3,4 млн человек. Речь идет о клиентах, у которых сервис запрашивал изображения документов при получении отдельных заказов, в том числе товаров с возрастными ограничениями. Регулятор посчитал, что сам факт такого заказа не давал компании права копировать документ целиком.
В чем суть претензий к Glovo
Польский регулятор указал, что для подтверждения возраста и личности клиента нельзя автоматически требовать скан или фото документа, если для этого нет четкой правовой основы. По версии UODO, Glovo получало изображения удостоверений личности, хотя для проверки возраста было достаточно подтвердить сам возраст покупателя без копирования всего документа.
Для клиентов это важно потому, что в таких документах содержится гораздо больше данных, чем нужно для выдачи заказа. Это не только имя и дата рождения, но также номер документа, фотография и другие сведения. Именно поэтому UODO считает такую практику избыточной и незаконной.
Позиция польского регулятора сводится к простому правилу: компания не может копировать удостоверение личности клиента только потому, что так удобнее проверять возраст или выдачу заказа.
Размер штрафа UODO объясняет масштабом нарушения и числом затронутых пользователей. По данным ведомства, речь может идти примерно о 3,4 млн клиентов приложения. Для польского рынка это одна из самых заметных санкций последнего времени в сфере персональных данных.
Сохранность персональных данных превыше всего
Решение UODO важно не только для пользователей Glovo. Оно показывает более широкий подход польского регулятора: компании не должны собирать больше персональных данных, чем действительно необходимо для оказания услуги. Если для проверки возраста достаточно сверить дату рождения или визуально проверить документ, копирование всего удостоверения личности может быть признано нарушением.
Для клиентов это также сигнал внимательнее относиться к тому, какие именно данные запрашивает приложение или сервис доставки. Если платформа требует фото или скан документа, стоит проверить, на каком основании это делается и действительно ли без этого нельзя получить услугу.
