Ilustracja: Gemini

Skany dowodów za podejrzenie oszustwa - co ustalił UODO?

Sprawa wyszła na jaw po kontroli przeprowadzonej przez UODO w październiku 2022 r. w siedzibie spółki. Organ nadzorczy zbadał, w jaki sposób Restaurant Partner Polska - operator aplikacji Glovo - przetwarza dane użytkowników.

Okazało się, że w sytuacjach podejrzenia oszustwa spółka wymagała od klientów przesłania skanu lub zdjęcia dowodu osobistego albo paszportu. Takie żądanie mogło pojawić się m.in. gdy kurier zgłaszał próbę kradzieży zamówienia, użycie fałszywych pieniędzy, niezgodność danych karty płatniczej z danymi użytkownika, a nawet podejrzenie, że przesyłka może zawierać nielegalne substancje.

Problem w tym, że skan dowodu osobistego to kopalnia danych - imię, nazwisko, PESEL, data urodzenia, adres, wizerunek, seria i numer dokumentu. Restaurant Partner Polska zbierała wszystkie te informacje, choć do weryfikacji tożsamości wystarczyłoby znacznie mniej.

Dlaczego „uzasadniony interes" nie wystarczył?

Spółka broniła się, powołując się na art. 6 ust. 1 lit. f RODO, czyli przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora. Argumentowała, że weryfikacja tożsamości w przypadkach podejrzeń o oszustwo jest takim właśnie uzasadnionym interesem, a żądanie dokumentu stosowano wyjątkowo.

Prezes UODO odrzucił tę argumentację. W decyzji z 19 lutego 2026 r. (sygn. DKN.5112.33.2022) wskazał, że kopiowanie dokumentów tożsamości mogą stosować wyłącznie konkretne podmioty wskazane w przepisach - np. instytucje objęte ustawą o przeciwdziałaniu praniu pieniędzy. Platforma dostawcza do tego grona nie należy.

Co więcej, organ nadzorczy podkreślił, że dowód osobisty i paszport to dokumenty publiczne pierwszej kategorii, objęte szczególnym reżimem ochronnym na mocy ustawy o dokumentach publicznych z 2018 r. Przeciwdziałanie oszustwom - choćby rzeczywistym - nie może odbywać się kosztem naruszenia zasady minimalizacji danych.

Jak wiadomo z praktyki orzeczniczej UODO, kwestia nadmiarowego ujawniania danych osobowych prowadzi do wysokich kar niezależnie od tego, kto dopuszcza się naruszenia.

Prawie 5,9 mln zł kary - skąd taka kwota?

Prezes UODO stwierdził naruszenie trzech zasad RODO jednocześnie: zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a), minimalizacji danych (art. 5 ust. 1 lit. c) oraz rozliczalności (art. 5 ust. 2).

Na wymiar kary wpłynęły przede wszystkim: długi okres trwania naruszenia (od lipca 2019 r.), potencjalnie ogromna skala - baza ponad 3,4 mln aktywnych użytkowników - oraz realne ryzyko szkody niemajątkowej. Użytkownicy mogli odczuwać uzasadnioną obawę przed utratą kontroli nad swoimi danymi i kradzieżą tożsamości.

Co powinieneś wiedzieć jako użytkownik aplikacji

1. Żadna aplikacja dostawcza nie ma prawa żądać skanu dowodu - takie uprawnienia mają wyłącznie instytucje wskazane w konkretnych ustawach (np. banki, notariusze).
   
   
2. Jeśli aplikacja żąda dokumentu tożsamości - odmów i zgłoś sprawę do UODO (uodo.gov.pl) lub skontaktuj się z inspektorem ochrony danych danej firmy.
   
   
3. Weryfikacja tożsamości nie wymaga pełnego skanu - firma może poprosić najwyżej o potwierdzenie konkretnych danych (np. imię i nazwisko), ale nie o kopię całego dokumentu.
   
   
4. Sprawdzaj, jakie dane udostępniasz - zanim wyślesz jakiekolwiek zdjęcie dokumentu, zadaj sobie pytanie, czy firma naprawdę potrzebuje Twojego numeru PESEL do dostarczenia burgera.

Warto zapamiętać

• Restaurant Partner Polska (Glovo) dostała 5,9 mln zł kary za zbieranie skanów dowodów bez podstawy prawnej
• Platformy delivery nie należą do podmiotów uprawnionych do kopiowania dokumentów tożsamości
• Walka z oszustwami nie zwalnia z obowiązku przestrzegania zasady minimalizacji danych RODO

Najczęstsze pytania

Czy Glovo może żądać skanu dowodu osobistego od użytkownika?

Nie. Prezes UODO jednoznacznie stwierdził, że Restaurant Partner Polska (operator Glovo) nie ma podstawy prawnej do pozyskiwania skanów ani zdjęć dowodów osobistych lub paszportów użytkowników aplikacji. Takie uprawnienia przysługują wyłącznie podmiotom wskazanym w konkretnych ustawach.

Ile wynosi kara UODO dla Glovo i czy jest prawomocna?

Kara wynosi 5 898 064 zł. Decyzja z 19 lutego 2026 r. jest na razie nieprawomocna - spółka może złożyć skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Co muszę zrobić, jeśli wcześniej wysłałem skan dowodu do Glovo?

Spółka otrzymała nakaz usunięcia zebranych w ten sposób danych w ciągu 30 dni od doręczenia decyzji. Możesz też samodzielnie złożyć wniosek o usunięcie danych do inspektora ochrony danych Restaurant Partner Polska, powołując się na art. 17 RODO (prawo do bycia zapomnianym).

Czy inne aplikacje mogą legalnie kopiować dokumenty tożsamości?

Kopiowanie dokumentów tożsamości jest dopuszczalne tylko wtedy, gdy istnieje do tego wyraźna podstawa ustawowa. Dotyczy to m.in. instytucji finansowych objętych ustawą o przeciwdziałaniu praniu pieniędzy. Aplikacja do zamawiania jedzenia taką instytucją nie jest.

Źródła:

• Urząd Ochrony Danych Osobowych, komunikat prasowy: „Nie można kopiować dokumentów bez podstawy prawnej - kara dla Glovo", marzec 2026, uodo.gov.pl
• Urząd Ochrony Danych Osobowych, decyzja DKN.5112.33.2022 z 19 lutego 2026 r., Portal Orzeczeń UODO