Prezes UODO nakłada karę prawie 6 mln zł za wymagania skanu dowodu osobistego
Prezes UODO nałożył na W. (…) sp. z o.o. administracyjną karę pieniężną w wysokości 5 898 064 zł za pozyskiwanie od użytkowników aplikacji M. (…) zdjęć lub skanów dowodu osobistego albo paszportu w ramach procedury antyfraudowej. Organ uznał, że spółka przetwarzała te dane bez podstawy prawnej, a zarazem w sposób nadmiarowy i nieadekwatny do deklarowanego celu, naruszając art. 6 ust. 1 RODO oraz zasady zgodności z prawem, minimalizacji danych i rozliczalności wynikające z art. 5 ust. 1 lit. a i c oraz art. 5 ust. 2 RODO. Oprócz samej kary organ nakazał również zaprzestanie dalszego pozyskiwania tych danych oraz ich usunięcie. Art. 6 ust. 1 lit. f RODO nie zalegalizował żądania skanu dokumentu Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO, argumentując, że chodzi o realizację prawnie uzasadnionego interesu administratora polegającego na weryfikacji tożsamości osoby podejrzanej o oszustwo. Prezes UODO nie podzielił jednak tego stanowiska. W ocenie organu powoływanie się na tę podstawę było niewłaściwe ze względu na zakres danych żądanych od użytkownika w związku z obowiązkiem przedłożenia skanu albo zdjęcia dokumentu tożsamości. Organ podkreślił, że przy tak przyjętym modelu przetwarzania administrator nie wykazał żadnej z przesłanek z art. 6 ust. 1 RODO, które legalizowałyby takie działanie. DPIA i test równowagi nie zastąpią legalnej podstawy przetwarzania W toku postępowania spółka podnosiła również, że przeprowadziła ocenę skutków dla ochrony danych oraz test równowagi, które miały wykazać, iż pobranie zdjęcia dokumentu tożsamości stanowi jedyny skuteczny środek zabezpieczający przed oszustwami finansowymi w razie wystąpienia podejrzenia fraudu. Organ odrzucił jednak tę argumentację, wskazując, że administrator nie może samodzielnie kreować podstaw prawnych przetwarzania danych. W konsekwencji także analizy przeprowadzone przy braku legalnej podstawy nie mogły zostać uznane za skuteczne uzasadnienie przyjętego procesu. Prezes UODO zwrócił przy tym uwagę, że sam fakt sporządzenia DPIA i LIA nie dowodzi jeszcze zgodności przetwarzania z prawem. Procedura antyfraudowa nie usprawiedliwia przetwarzania nadmiarowych danych Z ustaleń kontroli wynikało, że w przypadku podejrzenia oszustwa […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.