Компания Restaurant Partner Polska, оператор платформы Glovo, получила административный штраф в размере 5 898 064 злотых от президента Управления по защите персональных данных (UODO) за серьёзные нарушения правил защиты данных.
Причиной стала практика, при которой пользователей просили отправлять фото или сканы документов (паспорт или удостоверение личности) для дополнительной проверки в спорных ситуациях — например, при подозрении на мошенничество, несоответствие платёжных данных или возможные нарушения со стороны курьеров.
Регулятор отклонил аргументы компании о «законном интересе» и подчеркнул, что подобная проверка не оправдывает сбор столь чувствительных данных. По мнению UODO, Glovo не имело права копировать документы, поскольку такие действия разрешены только строго определённым организациям (например, банкам) и в рамках отдельных законов.
Также было установлено нарушение принципа минимизации данных: компания получала избыточную информацию, включая PESEL, данные документа, место рождения и изображение лица, что не соответствует цели простой идентификации пользователя.
Компания обязана прекратить сбор копий документов и удалить ранее собранные данные в течение 30 дней.