Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/19

Kraj:

Polska

Data wydania decyzji:

19.02.2026 r.

Podmiot kontrolowany:

Restaurant Partner Polska

Wysokość kary (EUR):

1.404.000

Podstawa prawna naruszenia

Art. 6 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

 

Przyczyna naruszenia

Administrator przyjął praktykę polegającą na rutynowym pozyskiwaniu kopii dokumentów tożsamości bez uprzedniej analizy niezbędności i proporcjonalności takiego działania. Nie wykazano również istnienia odpowiedniej podstawy prawnej dla przetwarzania tak szerokiego zakresu danych, co doprowadziło do systemowego naruszenia zasady minimalizacji. Źródłem problemu był brak procedur oraz podejścia opartego na analizie ryzyka, a nie incydentalny błąd.

 

Opis wydarzeń

  1. Wprowadzenie procedury pozyskiwania dokumentów: Administrator wdrożył proces operacyjny, w ramach którego od klientów wymagano przekazywania skanów lub zdjęć dokumentów tożsamości (np. dowodu osobistego lub paszportu) jako warunku realizacji określonych usług lub czynności. Praktyka ta została przyjęta jako standardowy element obsługi, bez indywidualnej oceny sytuacji.
  2. Systematyczne gromadzenie kopii dokumentów: W konsekwencji wdrożonej procedury dochodziło do regularnego i powtarzalnego utrwalania pełnych kopii dokumentów tożsamości w systemach administratora. Dane te były przechowywane w sposób zorganizowany, co wskazuje na ich trwałe włączenie do procesów biznesowych.
  3. Przetwarzanie nadmiarowych danych: Kopiowane dokumenty zawierały szeroki zakres informacji, w tym dane niewymagane do realizacji celu, takie jak numer PESEL, seria i numer dokumentu czy wizerunek. Zakres ten znacząco wykraczał poza dane konieczne do samej identyfikacji osoby.
  4. Brak analizy zasadności: Przed wdrożeniem praktyki administrator nie przeprowadził analizy niezbędności i proporcjonalności przetwarzania, ani nie ocenił, czy cel można osiągnąć przy użyciu mniej ingerujących metod, takich jak okazanie dokumentu bez jego kopiowania.
  5. Brak wykazania podstawy prawnej: W toku postępowania administrator nie był w stanie wskazać konkretnej i adekwatnej podstawy prawnej przetwarzania tak szerokiego zakresu danych. Nie wykazano również istnienia przepisów szczególnych, które nakładałyby obowiązek kopiowania dokumentów tożsamości.
  6. Zainicjowanie sprawy przez skargę: Postępowanie zostało wszczęte na skutek skargi osoby fizycznej, która zakwestionowała zasadność żądania przekazania kopii dokumentu. Skarga ta uruchomiła kontrolę praktyk stosowanych przez administratora.
  7. Postępowanie przed Prezesem UODO: Organ nadzorczy przeprowadził analizę stosowanych procesów, oceniając je przez pryzmat zasad RODO, w szczególności legalności przetwarzania, minimalizacji danych oraz rozliczalności.
  8. Uznanie naruszenia za systemowe: Prezes UODO stwierdził, że praktyka miała charakter powtarzalny i wynikała z przyjętego modelu działania, a nie z pojedynczego błędu. Oznacza to, że naruszenie było zakorzenione w organizacji i jej procedurach.
  9. Nałożenie kary administracyjnej: W związku ze stwierdzonymi naruszeniami organ nałożył karę pieniężną w wysokości 5 898 064 zł, uznając ją za proporcjonalną do skali naruszenia oraz liczby osób, których dane dotyczyły.
  10. Nakaz ograniczenia przetwarzania: Administrator został zobowiązany do dostosowania swoich procesów do wymogów RODO, w szczególności poprzez zaprzestanie pozyskiwania nadmiarowych danych i wdrożenie mechanizmów zapewniających zgodność z zasadą minimalizacji.
  11. Wskazanie ryzyk dla osób: Organ nadzorczy podkreślił, że przetwarzanie pełnych kopii dokumentów tożsamości istotnie zwiększa ryzyko dla osób fizycznych, w tym ryzyko kradzieży tożsamości lub nieuprawnionego wykorzystania danych. Wymaga to szczególnej ostrożności po stronie administratora.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie realnej zasady minimalizacji danych: W praktyce oznacza to każdorazowe zadanie pytania, czy dany zakres informacji jest rzeczywiście niezbędny do osiągnięcia konkretnego celu. W przypadku identyfikacji osoby najczęściej wystarczające jest sprawdzenie dokumentu lub pozyskanie wybranych danych, bez konieczności jego kopiowania.

  2. Precyzyjne określenie podstawy prawnej: Przed wdrożeniem procesu przetwarzania należy jasno przypisać odpowiednią przesłankę i jeśli to konieczne, należy odwołać się do przepisów szczególnych. Brak takiej analizy skutkuje wysokim ryzykiem zakwestionowania legalności przetwarzania przez organ nadzorczy.

  3. Stosowanie zasady proporcjonalności: Nawet jeśli istnieje podstawa prawna, zakres danych powinien być ograniczony do minimum. Kopiowanie całych dokumentów tożsamości powinno być traktowane jako środek o charakterze wyjątkowym, stosowany tylko wtedy, gdy brak jest mniej inwazyjnych alternatyw.

  4. Przeprowadzanie analizy ryzyka oraz DPIA: Przetwarzanie danych identyfikacyjnych, zwłaszcza takich jak PESEL czy numer dokumentu, wiąże się z podwyższonym ryzykiem. Dlatego konieczne jest systemowe podejście do identyfikacji zagrożeń i wdrażania środków ograniczających ryzyko.

  5. Opracowanie procedur weryfikacji tożsamości: Organizacje powinny posiadać jasno opisane i ustandaryzowane procesy identyfikacji, które wskazują, kiedy dopuszczalne jest kopiowanie dokumentów, a kiedy należy zastosować inne metody (np. weryfikację wizualną lub częściowe dane).

  6. Szkolenie personelu i budowanie świadomości: Wiele naruszeń wynika z praktyk operacyjnych, które nie są weryfikowane pod kątem zgodności z RODO. Regularne szkolenia pomagają ograniczyć ryzyko powielania nieprawidłowych schematów działania.

  7. Wzmocnienie zasady rozliczalności: Administrator powinien być w stanie wykazać, dlaczego przyjął określone rozwiązanie oraz jakie analizy przeprowadził. Dokumentowanie decyzji (np. w formie uzasadnienia do procedur) stanowi kluczowy element obrony w przypadku kontroli.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO