An ID Scan for Every Suspicion? PLN 5.9M Fine for Glovo

Jest dwudziesta pierwsza, zamawiasz kolację przez aplikację, kurier puka do drzwi — i nagle, zamiast burgera, dostajesz komunikat: prześlij skan dowodu osobistego, bo zgłoszono podejrzenie oszustwa. Nie do banku, nie do urzędu, nie do notariusza. Do firmy, która ma ci dowieźć jedzenie. Wysyłasz zdjęcie dokumentu, na którym widnieje twoje imię, nazwisko, PESEL, data urodzenia, adres zameldowania, wizerunek, seria i numer dokumentu — komplet danych, na podstawie którego można wziąć pożyczkę albo kupić telefon na raty. Burger przyjechał, problem zniknął, a skan twojego dowodu został w bazie spółki na lata. Dokładnie taki mechanizm Prezes Urzędu Ochrony Danych Osobowych uznał za bezprawny i wycenił na blisko sześć milionów złotych.

19 lutego 2026 roku Prezes UODO Mirosław Wróblewski wydał decyzję o sygnaturze DKN.5112.33.2022, nakładając na spółkę Restaurant Partner Polska — operatora platformy Glovo — administracyjną karę pieniężną w wysokości 5 898 064 złotych. Powód nie miał nic wspólnego z włamaniem, wyciekiem ani podatnością w systemie. Spółka została ukarana za to, że od użytkowników podejrzewanych o oszustwo żądała przesłania skanu lub zdjęcia dowodu osobistego albo paszportu — i przez ponad sześć lat budowała z tych skanów bazę, do której nie miała żadnej podstawy prawnej. To decyzja, którą powinien przeczytać każdy właściciel sklepu internetowego, każdy kierownik działu kadr i każdy, kto kiedykolwiek zażądał kopii dowodu „na wszelki wypadek", bo tak było wygodniej.

Anatomia decyzji: skan dowodu za każde podejrzenie

Sprawa wyszła na jaw po kontroli, którą UODO przeprowadził w październiku 2022 roku w siedzibie spółki. Organ przyjrzał się, w jaki sposób operator aplikacji przetwarza dane użytkowników, i natrafił na praktykę, która z perspektywy ochrony danych była podręcznikowym przykładem nadmiarowości. W sytuacjach, w których pojawiało się podejrzenie nieuczciwości, spółka uzależniała dalszą obsługę klienta od przesłania fotografii dokumentu tożsamości.

Katalog tych sytuacji był szeroki i — co istotne — w pełni jednostronny. Żądanie skanu mogło pojawić się wtedy, gdy kurier zgłosił próbę kradzieży zamówienia, gdy posłużono się rzekomo fałszywymi pieniędzmi, gdy dane karty płatniczej nie zgadzały się z danymi użytkownika, a nawet wtedy, gdy zachodziło podejrzenie, że przesyłka może zawierać nielegalne substancje. Innymi słowy, wystarczyło, że to firma uznała sytuację za podejrzaną, by od klienta zażądać kompletu jego danych identyfikacyjnych. Spółka traktowała skan dowodu jak uniwersalny klucz do rozwiązywania sporów — a Prezes UODO uznał, że to klucz, którego operator platformy dostawczej w ogóle nie miał prawa trzymać w ręku. Decyzja jest na razie nieprawomocna; spółka może złożyć skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Ale sama konstrukcja zarzutu jest tu istotniejsza niż jego dalsze losy, bo opisuje praktykę spotykaną w setkach polskich firm.

Skan dowodu to kopalnia danych, nie potwierdzenie tożsamości

Żeby zrozumieć, dlaczego organ zareagował tak ostro, trzeba spojrzeć na to, co właściwie znajduje się na dowodzie osobistym. To nie jest pojedyncza informacja, którą można odhaczyć w procesie weryfikacji. To zwarty pakiet danych: imię i nazwisko, numer PESEL, data i miejsce urodzenia, adres, wizerunek twarzy, obywatelstwo, płeć, a w starszych dokumentach również wzrost i kolor oczu, do tego seria i numer dokumentu oraz data jego ważności. Każde z tych pól zostało zaprojektowane do innego celu, a razem tworzą one zestaw wystarczający, by skutecznie podszyć się pod właściciela dokumentu.

I tu pojawia się sedno problemu, które organ formułuje od lat z żelazną konsekwencją. Weryfikacja tożsamości — nawet uzasadniona, nawet w przypadku realnego podejrzenia oszustwa — niemal nigdy nie wymaga całego dowodu. Do potwierdzenia, że osoba zamawiająca jest tą, za którą się podaje, w zdecydowanej większości sytuacji wystarczy porównanie imienia i nazwiska albo potwierdzenie jednej, konkretnej danej. Tymczasem skan dokumentu daje administratorowi wszystko naraz, w tym dane, których do żadnego celu nie potrzebuje i których nie ma prawa przetwarzać. To jest klasyczne naruszenie zasady minimalizacji wyrażonej w art. 5 ust. 1 lit. c RODO: dane mają być adekwatne, stosowne i ograniczone do tego, co niezbędne. Kopia dowodu jest przeciwieństwem niezbędności — to zbieranie na zapas, „bo może się przyda", a prawo ochrony danych takiego rozumowania nie toleruje.

Dlaczego „uzasadniony interes" nie wystarczył

Linia obrony spółki była przewidywalna i jest powtarzana w niejednej organizacji, która zbiera za dużo danych. Restaurant Partner Polska powołała się na art. 6 ust. 1 lit. f RODO, czyli na prawnie uzasadniony interes administratora. Argument brzmiał logicznie: skoro firma chroni się przed oszustwami i ponosi z ich powodu realne straty, to weryfikacja tożsamości w przypadkach podejrzanych mieści się w jej uzasadnionym interesie, a żądanie dokumentu stosowane jest wyjątkowo, nie rutynowo.

Prezes UODO tę argumentację odrzucił, i zrobił to na dwóch poziomach. Po pierwsze, uzasadniony interes nie jest podstawą blankietową, która usprawiedliwia dowolny zakres danych — musi przejść test proporcjonalności, w którym waży się interes administratora przeciwko prawom i wolnościom osoby. Skoro do celu, jakim jest weryfikacja, wystarczyłoby znacznie mniej niż komplet danych z dowodu, to pozyskiwanie całego dokumentu ten test oblewa. Po drugie, i to argument mocniejszy, organ wskazał, że kopiowanie dokumentów tożsamości mogą stosować wyłącznie konkretne podmioty wprost wymienione w przepisach — na przykład instytucje objęte ustawą o przeciwdziałaniu praniu pieniędzy. Platforma do zamawiania jedzenia do tego grona nie należy i nie może sama, mocą własnego regulaminu, dopisać się do listy uprawnionych. Uzasadniony interes pozwala przetwarzać dane, do których istnieje legalna droga — nie tworzy nowej drogi tam, gdzie ustawodawca jej nie przewidział.

Dokumenty publiczne pierwszej kategorii: drugi reżim ochronny

Decyzja w sprawie Glovo ma jeszcze jedną warstwę, którą łatwo przeoczyć, a która podnosi stawkę dla każdej firmy zbierającej skany dokumentów. Dowód osobisty i paszport to nie są zwykłe nośniki danych — to dokumenty publiczne pierwszej kategorii w rozumieniu ustawy z 22 listopada 2018 roku o dokumentach publicznych, która weszła w życie 12 lipca 2019 roku. Ustawa ta otacza najważniejsze dokumenty państwowe odrębnym reżimem ochronnym, niezależnym od RODO, i właśnie do niego odwołał się organ, oceniając praktykę spółki.

Trzeba w tym miejscu rozwiać częste nieporozumienie. Ustawa o dokumentach publicznych penalizuje wytwarzanie tak zwanych replik — kopii lub odwzorowań dokumentu o wielkości od 75 do 120 procent oryginału i posiadających cechy autentyczności, takie jak elementy widoczne w świetle UV czy farba zmienna optycznie. Za wytworzenie repliki grozi grzywna, ograniczenie wolności albo pozbawienie wolności do dwóch lat. Zwykły skan czy kserokopia tych cech autentyczności nie posiada, więc sam w sobie nie jest przestępstwem. Ale — i to jest pointa, której wiele firm nie dostrzega — brak odpowiedzialności karnej za sam skan nie oznacza, że wolno go bezkarnie gromadzić. Przetwarzanie danych pozyskanych z takiej kopii bez podstawy prawnej pozostaje naruszeniem RODO, a organ nadzorczy może je ukarać administracyjnie. Glovo nie odpowiada za fałszerstwo dokumentu; odpowiada za to, że bez tytułu prawnego zbudowało zbiór danych z dokumentów objętych szczególną ochroną państwa. Walka z oszustwami, choćby najbardziej realnymi, nie może odbywać się kosztem tej ochrony.

Dla porządku warto wskazać, kto faktycznie może kopiować dokumenty tożsamości, bo wbrew obiegowej opinii lista jest krótka. Art. 34 ust. 4 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu pozwala sporządzać kopie dokumentów tożsamości klienta — między innymi bankom, firmom ubezpieczeniowym, kantorom czy notariuszom — ale tylko na potrzeby stosowania środków bezpieczeństwa finansowego. Nawet te podmioty nie mogą kopiować dokumentów w dowolnym innym celu. Każdy, kto nie figuruje w takim wyraźnym przepisie, działa bez podstawy — a operator aplikacji dostawczej z całą pewnością w żadnym z nich nie figuruje.

Skąd 5,9 mln zł: anatomia wymiaru kary

Kwota blisko sześciu milionów złotych nie wzięła się znikąd i warto prześledzić, z czego ją złożono, bo to instruktaż, jak organ myśli o wadze naruszenia. Prezes UODO stwierdził naruszenie kilku zasad RODO równocześnie. Naruszono art. 5 ust. 1 lit. a — zasadę zgodności z prawem, rzetelności i przejrzystości, art. 5 ust. 1 lit. c — zasadę minimalizacji danych, art. 5 ust. 2 — zasadę rozliczalności, oraz art. 6 ust. 1, regulujący podstawy legalności przetwarzania. To nie była więc pojedyncza usterka, lecz naruszenie fundamentów, na których opiera się całe rozporządzenie.

Na wysokość kary złożyły się trzy okoliczności, które organ wyważył szczególnie starannie. Pierwsza to czas trwania naruszenia — praktyka funkcjonowała od lipca 2019 roku, a więc przez ponad sześć lat, co przekreśla każdą próbę przedstawienia jej jako incydentalnego potknięcia. Druga to skala oddziaływania: baza aktywnych użytkowników platformy w Polsce przekraczała 3,4 miliona osób, z których każda była potencjalnie narażona na to żądanie. Trzecia to realne ryzyko szkody niemajątkowej — użytkownicy, których skany trafiły do zbioru, mieli pełne podstawy obawiać się utraty kontroli nad swoimi danymi i kradzieży tożsamości, a obawa ta sama w sobie jest uznawana przez organ za skutek naruszenia. Do kary pieniężnej organ dołożył nakaz operacyjny: spółka ma zaprzestać zbierania skanów i usunąć dane zebrane w ten sposób w ciągu trzydziestu dni od doręczenia decyzji. To istotne, bo pokazuje, że organowi nie chodzi wyłącznie o ukaranie przeszłości, lecz o realne zamknięcie wadliwej praktyki na przyszłość.

ING Bank Śląski: 18,4 mln zł i ten sam mechanizm

Sprawa Glovo nie jest odosobnionym wyskokiem nowego prezesa UODO — wpisuje się w wyraźną, konsekwentnie egzekwowaną linię. Najlepszym dowodem jest sprawa, która zapadła kilka miesięcy wcześniej i dotyczyła podmiotu z zupełnie innej półki. W sierpniu 2025 roku Prezes UODO nałożył na ING Bank Śląski karę w wysokości 18 416 400 złotych — drugą najwyższą w historii stosowania RODO w Polsce i zarazem najwyższą wymierzoną podmiotowi z sektora prywatnego. Powód był uderzająco podobny: bank skanował dowody osobiste klientów, a nawet osób, które dopiero potencjalnymi klientami miały się stać.

Szczegóły tej sprawy są pouczające dla każdego, kto sądzi, że „przecież banki mogą wszystko". Bank skanował dokumenty od 1 kwietnia 2019 roku do 23 września 2020 roku, obejmując tą praktyką ogromną grupę osób — w samym 2020 roku mowa o 4,72 miliona klientów. Bank bronił się przepisami o przeciwdziałaniu praniu pieniędzy i zapowiedział zaskarżenie decyzji. Organ jednak konsekwentnie odwołał się do zasady minimalizacji: identyfikacja klienta, czyli cel wskazany w ustawie AML, nie wymaga zeskanowania całego dowodu. Jeśli daną czynność da się wykonać na podstawie imienia, nazwiska i numeru klienta, nie ma podstaw do kopiowania całego dokumentu. Co więcej, organ podkreślił, że instytucja zaufania publicznego, jaką jest bank, powinna podchodzić do zgodnego z prawem przetwarzania danych z najwyższą starannością — i właśnie od niej wymagać należy więcej, a nie mniej. Dwie sprawy, dwa zupełnie różne sektory, ten sam błąd i ta sama diagnoza organu. To nie przypadek, to wzorzec.

To nie problem Glovo, to problem każdego, kto skanuje na zapas

Najgroźniejsza w tej decyzji jest pokusa, by potraktować ją jako egzotyczny kłopot wielkiej platformy i odetchnąć, że mojej firmy to nie dotyczy. Dotyczy, i to znacznie szerzej, niż się wydaje. Praktyka żądania skanu dowodu „dla bezpieczeństwa" jest w polskim biznesie wszechobecna, a większość firm, które ją stosują, nie ma do tego ani odrobiny więcej podstawy prawnej niż Glovo. Wypożyczalnia sprzętu narciarskiego czy samochodów, która robi ksero dowodu na wypadek zniszczenia mienia. Sklep internetowy, który przy reklamacji albo zwrocie żąda fotografii dokumentu, by „zweryfikować klienta". Firma organizująca program lojalnościowy, która do założenia konta prosi o skan dowodu. Biuro najmu, które wpina kopię dokumentu najemcy do teczki umowy. Każda z tych sytuacji to ten sam schemat, który organ wycenił na miliony.

Warto przy tym uświadomić sobie, że ryzyko nie kończy się na karze administracyjnej. Zbiór skanów dowodów to dla firmy zobowiązanie, które ciągnie się za nią długo po tym, jak dane przestały być potrzebne. W razie włamania do systemu to właśnie takie zbiory są najcenniejszym łupem — pojedynczy skan dowodu na czarnym rynku wart jest wielokrotnie więcej niż sam adres e-mail, bo pozwala zaciągnąć zobowiązanie na cudze nazwisko. Firma, która padła ofiarą ataku, musi wtedy nie tylko zgłosić naruszenie organowi w ciągu siedemdziesięciu dwóch godzin i powiadomić poszkodowanych, ale i wytłumaczyć się z tego, po co w ogóle te skany trzymała. Odpowiedź „na wszelki wypadek" zamienia się wówczas z drobnej niefrasobliwości w okoliczność obciążającą — bo gdyby danych nie było, nie byłoby też naruszenia. Im mniejszy zbiór, tym mniejsza nie tylko grzywna, ale i realna szkoda dla ludzi, których dane się powierzyło.

Szczególnie newralgicznym obszarem są kadry. Wielu pracodawców do dziś rutynowo kseruje albo skanuje dowody osobiste kandydatów i pracowników, wpinając kopie do akt osobowych — i robi to bez jakiejkolwiek podstawy. Pracodawca ma prawo zażądać okazania dokumentu tożsamości w celu potwierdzenia danych, ale nie ma prawa wykonywać i przechowywać jego kopii; wyjątki są nieliczne i wyraźnie określone, jak choćby zatrudnianie cudzoziemców, gdzie obowiązek przechowywania kopii dokumentu wynika wprost z przepisów. Poza takimi przypadkami kopia dowodu w aktach pracownika to gotowy zarzut naruszenia minimalizacji, czekający na pierwszą kontrolę albo pierwszą skargę byłego pracownika. Lekcja z decyzji w sprawie Glovo jest brutalnie prosta: skala firmy nie ma znaczenia, znaczenie ma podstawa prawna. A „bo tak jest wygodniej" i „bo wszyscy tak robią" podstawą prawną nigdy nie były.

Antyfraud kontra minimalizacja: jak weryfikować bez kopiowania

W tym miejscu pada zwykle uczciwe pytanie z drugiej strony: skoro oszustwa są realne i kosztowne, to jak firma ma się przed nimi bronić, jeśli nie wolno jej zbierać skanów? Odpowiedź nie brzmi „nie weryfikuj", lecz „weryfikuj mądrzej, w zgodzie z zasadą celowości i minimalizacji". Antyfraud i ochrona danych nie są wrogami — sprzeczność pojawia się dopiero wtedy, gdy weryfikację projektuje się leniwie, sięgając po największy możliwy zbiór danych zamiast po najmniejszy wystarczający.

Punktem wyjścia jest art. 25 RODO, czyli zasada uwzględniania ochrony danych w fazie projektowania, znana jako privacy by design. Mówi ona wprost: zabezpieczenia i ograniczenia danych trzeba wbudować w proces, zanim ten ruszy, a nie doklejać po fakcie. W praktyce oznacza to projektowanie weryfikacji wokół pytania „jaka jest najmniejsza dana, która rozstrzyga tę wątpliwość", a nie „jakie dane mógłbym przy okazji zebrać". Zamiast skanu całego dokumentu wystarczy często potwierdzenie jednej informacji, którą zna wyłącznie właściciel konta. Zamiast kopii dowodu — weryfikacja przez kanał płatności, na przykład przelew weryfikacyjny na symboliczną kwotę z konta, którego dane muszą się zgadzać. Zamiast trzymania fotografii dokumentu w bazie — odczytanie i porównanie potrzebnej danej bezpośrednio przy okazaniu, bez zapisywania kopii. W sytuacjach naprawdę wymagających mocnej identyfikacji do dyspozycji są profil zaufany, e-dowód czy usługi tożsamości cyfrowej, zaprojektowane tak, by potwierdzić tożsamość bez przekazywania firmie kompletu danych z dokumentu. Każde z tych rozwiązań realizuje cel antyfraudowy, nie tworząc przy okazji zbioru, który po latach stanie się zarzutem.

Minimalizacja jako zabezpieczenie: warstwa ISO 27001

Patrzenie na minimalizację wyłącznie jako na wymóg prawny to spojrzenie połowiczne. Minimalizacja jest również, a może przede wszystkim, środkiem bezpieczeństwa. Dane, których nie zebrałeś, nie wyciekną, nie zostaną zaszyfrowane przez ransomware i nie posłużą do podszycia się pod twojego klienta. Każdy zbiór skanów dowodów to magazyn materiału wybuchowego — im większy, tym poważniejsze skutki ewentualnego naruszenia. Dlatego norma ISO/IEC 27001:2022, coraz częściej wymagana w przetargach i traktowana jako miara należytej staranności, traktuje ograniczanie danych i panowanie nad nimi jako element systemu zarządzania bezpieczeństwem informacji, a nie jako oddzielny obowiązek prawnika.

Konkretne zabezpieczenia z załącznika A normy układają się w spójną odpowiedź na praktykę, za którą ukarano Glovo. Klasyfikacja informacji każe oznaczyć skany dokumentów tożsamości jako dane o podwyższonym ryzyku i objąć je adekwatną ochroną. Zabezpieczenia dotyczące kontroli dostępu wymagają, by do takich zbiorów miały dostęp wyłącznie osoby, które rzeczywiście muszą — zgodnie z zasadą wiedzy koniecznej. Rejestrowanie zdarzeń i monitorowanie dostępu pozwala odtworzyć, kto i kiedy sięgał po dane, co przy kontroli organu bywa różnicą między udokumentowaną starannością a bezradnym rozłożeniem rąk. A reguły dotyczące retencji i usuwania informacji wymuszają to, czego w sprawie Glovo zabrakło najdotkliwiej — usuwanie danych, gdy ustał cel ich przetwarzania, zamiast bezterminowego trzymania ich „bo zostały". Do tego dochodzi ocena skutków dla ochrony danych z art. 35 RODO: tam, gdzie przetwarzanie na dużą skalę rodzi wysokie ryzyko dla osób, administrator ma obowiązek przeprowadzić analizę DPIA jeszcze przed startem procesu. Gdyby spółka taką analizę rzetelnie wykonała, niemal na pewno doszłaby do wniosku, że zbiór skanów dowodów to ryzyko nieproporcjonalne do celu. Minimalizacja, kontrola dostępu, retencja i ocena ryzyka to nie cztery oddzielne obowiązki — to jeden, spójny sposób myślenia o danych, w którym to, czego nie masz, jest twoim najlepszym zabezpieczeniem.

Dlaczego z Fib.Code: weryfikacja zgodna z minimalizacją

Fib.Code zajmuje się ochroną danych osobowych i bezpieczeństwem informacji od tej strony, która w sprawie Glovo okazała się decydująca — od projektowania procesów tak, by zbierały dokładnie tyle danych, ile trzeba, i ani jednego pola więcej. Pełnimy funkcję inspektora ochrony danych i Pełnomocnika ds. bezpieczeństwa informacji dla firm sektora MŚP, e-commerce, samorządów, sądów i spółek komunalnych, a w każdej z tych organizacji punktem wyjścia jest to samo pytanie, które organ zadał spółce: czy do tego celu naprawdę potrzebujesz tych danych.

Działamy według trzech zasad. Po pierwsze, zaczynamy od inwentaryzacji danych i podstaw prawnych — przechodzimy przez formularze, regulaminy, procesy reklamacji, rejestracji i weryfikacji klienta, i wskazujemy te miejsca, w których firma zbiera za dużo i bez tytułu prawnego, zanim zrobi to za nią kontrola. Po drugie, przekładamy przepis na proces: art. 5 ust. 1 lit. c, art. 6, art. 25 i art. 35 RODO oraz zabezpieczenia z ISO 27001 zamieniamy na konkretne ścieżki weryfikacji, polityki retencji i reguły dostępu, które realizują cel biznesowy bez budowania zbioru-pułapki. Po trzecie, za naszą pracą stoi zespół — prawnik, specjalista IT, audytor — a nie jeden konsultant z gotowym szablonem, bo bezpieczeństwo informacji jest dziedziną zbyt rozległą, by udźwignęła ją jedna osoba. Efektem nie jest kolejny dokument na półkę, lecz proces, który po latach obroni się przed organem, i firma, która wie, dlaczego każde zbierane przez nią pole danych w ogóle istnieje.

Co zrobić w ten weekend: audyt zbieranych skanów

Nie odkładaj tego na „kiedyś po sezonie". W ten weekend albo w poniedziałek rano zwołaj jedno krótkie spotkanie z osobą odpowiedzialną za procesy obsługi klienta i kadry. Postaw jeden punkt agendy: w których miejscach nasza firma zbiera, kseruje albo skanuje dowody osobiste i inne dokumenty tożsamości — i na jakiej podstawie prawnej. Przejdźcie po kolei przez rejestrację konta, reklamacje i zwroty, weryfikację płatności, akta pracownicze, umowy najmu i wypożyczeń, programy lojalnościowe. Przy każdym punkcie zadajcie trzy pytania: czy mamy wyraźną podstawę prawną do kopiowania całego dokumentu, czy do tego celu wystarczyłaby pojedyncza dana zamiast skanu, oraz czy usuwamy zebrane kopie, gdy ustaje cel ich przetwarzania.

Jeśli przy którymkolwiek punkcie pada „bo zawsze tak robiliśmy" albo „bo tak jest wygodniej", masz pierwsze zadanie na najbliższe dni — przeprojektować ten proces, zanim zrobi to za ciebie skarga klienta albo kontrola organu. Glovo zbierało skany ponad sześć lat, przekonane, że broni się przed oszustami; skończyło z karą blisko sześciu milionów złotych i nakazem usunięcia całego zbioru w trzydzieści dni. Twoja firma nie musi czekać na własną decyzję administracyjną, by wyciągnąć z tej sprawy wniosek. Najtańszy zbiór skanów dowodów to ten, którego nigdy nie zbudowałeś.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: kara UODO dla Myślenic za nadmiarowe dane w BIP, wyrok WSA w sprawie Fortum i Pika oraz danych produkcyjnych w środowisku testowym, kara UODO dla DPD i łańcuch podwykonawców RODO — razem składają się na jedną lekcję: organ konsekwentnie karze tych, którzy przetwarzają więcej danych, niż im wolno.