Bezpłatny e-book Dostęp do rejestru beneficjentów rzeczywistych po zmianach w Ustawie AML Poznaj kluczowe zmiany w dostępie do CRBR po nowelizacji Ustawy AML.
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Umowa powierzenia i upoważnienie w RODO. Sprawa DPD intryguje prawników

Tomasz Ciechoński
Tomasz Ciechoński
RODO
Transport
Aktualności

Ponad 11,4 mln zł kary ma zapłacić firma kurierska DPD Polska po tym, jak Urząd Ochrony Danych Osobowych dopatrzył się w jej działaniu dwóch naruszeń RODO. Decyzja wywołała dyskusję wśród praktyków na temat podejścia organu nadzorczego do kwestii umowy powierzenia przetwarzania danych osobowych oraz rozumienia pojęcia „osób upoważnionych do przetwarzania danych”. Urząd na prośbę Prawo.pl sprecyzował te kwestie, nie rozwiał jednak wszystkich wątpliwości.

rodo gdpr
Źródło: iStock

Decyzją z 5 marca (DKN.5112.1.2023) prezes UODO stwierdził, że spółka DPD Polska:

  1. naruszyła art. 28 ust. 3 RODO w ten sposób, że przy transporcie pomiędzy swoimi oddziałami przesyłek zawierających etykiety adresowe korzystała z usług zewnętrznych przewoźników, bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych;
  2. naruszyła art. 24 ust. 1 i 2, art. 29 oraz art. 32 ust. 1 i 4 RODO w ten sposób, że nie zapewniała, aby przetwarzanie danych przez osoby działające z jej upoważnienia odbywało się wyłącznie na polecenie i w oparciu o stosowne upoważnienia, a także nie wdrożyła swojej polityki ochrony danych w tym zakresie. Nowi pracownicy po odbyciu szkolenia online otrzymywali automatycznie wygenerowane upoważnienie, niezawierające takich elementów jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. 

Kary za naruszenia wyniosły odpowiednio 6,2 mln zł oraz 5,2 mln zł. Można spodziewać się, że DPD zaskarży decyzję, tymczasem już teraz wywołała ona dyskusję w mediach społecznościowych z udziałem prawników specjalizujących się w ochronie danych. Serwis Prawo.pl poprosił urząd o wyjaśnienia kwestii budzących wątpliwości. Odpowiedzi udzielił Łukasz Kuligowski, zastępca rzecznika prasowego UODO.

 

Powierzenie danych: przewoźnik, kurier a firma sprzątająca

Stanowisko UODO wobec zlecenia transportu zewnętrznym podmiotom wyrażał Marcin Serafin, partner kancelarii Sterberg.

Mam poważne wątpliwości, czy w tej sprawie nie doszło do pewnego pomieszania dwóch różnych ról w łańcuchu logistycznym – kuriera i przewoźnika. To nie są te same funkcje operacyjne, a z uzasadnienia decyzji nie wynika dla mnie jednoznacznie, czy organ w pełni prawidłowo ustalił stan faktyczny w tym zakresie. W przypadku przewoźników, ich usługi nie są przecież związane z przetwarzaniem danych – tłumaczy Marcin Serafin.

Dodaje, że jeśli wprost przyjąć logikę zaprezentowaną przez UODO, zgodnie z którą sam potencjalny dostęp do danych (nawet w procesie niezwiązanym z ich przetwarzaniem) oznacza ich przetwarzanie w imieniu administratora, to podobne wnioski można byłoby wyciągnąć wobec wielu innych usługodawców – od firm sprzątających, przez ekipy techniczne, aż po różnego rodzaju serwisy czy wykonawców prac w budynkach.

- W trakcie wykonywania swoich czynności mogą oni mieć dostęp do identyfikatorów pracowników, danych klientów czy innych osób trzecich – czy to na dokumentach pozostawionych na biurkach, wizytówkach na drzwiach czy w wielu innych miejscach. Przyjęcie, że samo spojrzenie na etykietę czy wizytówkę oznacza przetwarzanie danych w imieniu administratora, prowadziłoby do sytuacji, w której zostalibyśmy zalani lawiną umów powierzenia. Jestem przekonany, że na pewno nie taki był cel tych przepisów – mówi Marcin Serafin. - Ale jest też jeszcze drugi wymiar tej sprawy – realny wpływ na prywatność. Trudno nie zauważyć, że nawet gdyby przyjąć stanowisko UODO co do konieczności zawarcia umowy powierzenia, to sam brak takiego dokumentu prawdopodobnie niewiele zmieniłby z punktu widzenia stosowanych w transporcie środków bezpieczeństwa. Umowy z przewoźnikami regulują te kwestie bardzo szczegółowo, a liczba paczek utraconych przez firmy przewozowe jest znikoma – dodaje.

UODO stoi jednak na stanowisku, że z punktu widzenia obowiązku zawarcia umowy powierzenia porównanie usług przewozowych i usług utrzymania czystości w pomieszczeniach biurowych jest niewłaściwe. Łukasz Kuligowski tłumaczy, że usługi przewozowe świadczone przez podmioty zewnętrzne na rzecz firm kurierskich przeważnie wiążą się „z przetwarzaniem przez te podmioty danych osobowych, m.in. poprzez ich przechowywanie oraz poprzez dostęp do etykiet adresowych, na których te dane się znajdują”. - W przypadku usług sprzątania, nie ma mowy o dostępie do danych osobowych pracowników podmiotu świadczącego te usługi, bowiem ich wykonywanie nie wiąże się w żaden sposób z przetwarzaniem danych, np. klientów zleceniodawcy tych usług - wskazuje zastępca rzecznika UODO.

Nadmienia, że administrator powierzający usługi sprzątania zewnętrznej firmie jest zobowiązany do zachowania środków wręcz uniemożliwiających przetwarzanie danych przez pracowników tej firmy. Niedochowanie tego obowiązku może być naruszeniem RODO, a jeśli faktycznie osoby sprzątające uzyskają dostęp do danych, będziemy mieli do czynienia z naruszeniem ochrony danych.

Stanowisko organu budzi wątpliwości prawników z różnych powodów. Martyna Popiołek-Dębska, radca prawny i inspektor ochrony danych prowadząca własną kancelarię, uważa, że traktowanie przewoźników jako podmiotów przetwarzających jest dyskusyjne. - W mojej ocenie to tzw. dostęp incydentalny. Przewoźnik realizując usługę, ma potencjalną możliwość dostępu do danych osobowych, ale dostęp ten nie jest celem samym w sobie. Nie jest on niezbędny do wykonania głównej usługi. Ma charakter przypadkowy, sporadyczny i krótkotrwały. Sam fakt, że ktoś może potencjalnie uzyskać dostęp do danych, nie oznacza automatycznie konieczności zawierania umowy powierzenia. Decydujący jest cel i charakter świadczonej usługi – wyjaśnia.

Patrycja Roztajewska, radca prawny w BWHS Wojciechowski Springer i Wspólnicy, uważa zaś, że zawieranie umowy powierzenia między firmą spedycyjną a transportową jest zbędne, gdyż przetwarzanie danych przez tę drugą jest realizowane w oparciu o ustawowy obowiązek wynikający z prawa przewozowego. - Firma transportowa przetwarza te dane w celu zrealizowania usługi transportu przesyłki oraz w celach związanych z dokumentacją jej poprawnego dostarczenia, w tym informacją zwrotną dla klienta oraz w celu rozpatrzenia ewentualnych reklamacji – uważa mec. Roztajewska.

 

Kto jest upoważniony do udzielania upoważnień

Drugi punkt decyzji wzbudził wątpliwości co do tego, kim w ocenie organu są osoby działające z upoważnienia administratora i jak to upoważnienie rozumieć.

Zastępca rzecznika UODO tłumaczy, że w treści decyzji nie ma stwierdzenia, iż osoby dopuszczone do przetwarzania przez administratorów powinny zawsze i bezwzględnie być upoważnione do tego na podstawie treści tożsamej z „tradycyjnym” upoważnieniem.

- Prezes UODO wyraźnie wskazał w decyzji, że obowiązek zapewnienia przez administratora, aby określone osoby przetwarzały dane na jego wyłączne polecenie, powinien być wypełniony w taki sposób, aby nie pozostawiał on wątpliwości co do intencji administratora oraz co do tego, komu wydaje on polecenie przetwarzania. Innymi słowy, wypełnienie ww. obowiązku ma być rozliczalne, a więc takie, aby administrator był w stanie wykazać przed organem nadzorczym, że faktycznie zapewnił, aby przetwarzanie danych w jego organizacji odbywało się wyłącznie na jego polecenie – wyjaśnia Łukasz Kuligowski.

UODO zwraca uwagę na istotne szczegóły stanu faktycznego. Administrator sam przesądził, że:

  • opisywany obowiązek jest u niego realizowany poprzez udzielenie stosownych upoważnień;
  • do udzielania upoważnień miała być wyznaczona właściwa osoba.

Urząd wnioskuje, że w takim razie administrator był obowiązany przestrzegać wewnętrznych uregulowań, w tym wyznaczyć osobę uprawnioną do udzielania upoważnień w przedmiocie przetwarzania danych. Spółka DPD Polska zaniechała tego: nie wyznaczyła odpowiedniej osoby, „a ponadto zastosowała środki, które w żaden sposób nie spełniały warunków udzielenia upoważnień”. Łukasz Kuligowski tłumaczy, że automatyczne generowanie plików tekstowych w systemie teleinformatycznym, „niezawierających jakichkolwiek cech oświadczenia woli”, stanowiło naruszenie wewnętrznych procedur, a w konsekwencji także RODO.

– Pliki, o których wyżej mowa, nie zawierały podstawowych danych osobowych osób, którym w zamyśle administratora miały być udzielone upoważnienia, a ponadto nie zawierały innych cech (np. podpisu), które w klarowny, rozliczalny i niepozostawiający wątpliwości sposób wiązałyby treść upoważnienia z identyfikowalną, uprawnioną do jego udzielenia osobą. Na dodatek, cały proces, o którym wyżej mowa, był uruchamiany przez samego zainteresowanego, a więc przez osobę, której upoważnienie miało być udzielone, przez co wbrew istocie upoważnienia jako oświadczenia woli, osoba ta niejako sama sobie udzielała pełnomocnictwa. Sytuacja taka jest sprzeczna nie tylko z przepisami prawa, ale w ogóle z istotą roli administratora w przetwarzaniu danych, który wyłącznie decyduje o tym, kto i w jaki sposób ma na jego polecenie przetwarzać dane – konkluduje Łukasz Kuligowski.

- System do elektronicznego nadawania upoważnień powinien zapewnić możliwość wygenerowania informacji: kto, komu, kiedy, w jakim zakresie, na jaki czas nadał upoważnienie – przyznaje mec. Patrycja Roztajewska.

- Zastrzeżenia budzi ograniczenie oceny sprawy wyłącznie do formalnej analizy polityki ochrony danych osobowych i dokumentu upoważnienia, bez weryfikacji rzeczywistego sposobu organizacji procesu nadawania uprawnień (nie: upoważnień) do przetwarzania danych w spółce – wskazuje Martyna Popiołek-Dębska. Jej zdaniem niestosowanie przez administratora swoich własnych procedur jest działaniem niepożądanym, nie musi jednak rzutować na prawidłowość procesu przetwarzania w organizacji. - W sytuacji niespójności, powinny decydować okoliczności faktyczne, a nie wyłącznie formalne. Taka też jest idea RODO, które miało odejść od formalizmu na rzecz praktycznego stosowania ochrony danych – komentuje mec. Popiołek-Dębska.

----------------------------------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.

 

 

Autor:
Tomasz Ciechoński
Czytaj także
rodo gdpr
RODO
Przejdź do artykułu: Kara UODO dla Fortum. NSA cofa sprawę do ponownego rozpoznania
Gdy dane klientów firmy Fortum Marketing and Sales S.A. stały się dostępne dla osób nieuprawnionych, prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenia RODO oraz nałożył na spółkę blisko 5 mln zł kary. Ponad 250 tys. zł kary otrzymała zaś spółka Pika, działająca jako podmiot przetwarzający. Decyzję tę nieprawomocnie uchylił Wojewódzki Sąd Administracyjny. Naczelny Sąd Administracyjny uwzględnił jednak kasację UODO i nakazał WSA ponowne rozpatrzenie sprawy.
nieruchomosci
NieruchomościRODO
Przejdź do artykułu: Księgi wieczyste tylko po zalogowaniu? Prezes UODO ma poważne zastrzeżenia
Nowelizacja ustawy o księgach wieczystych i hipotece ma chronić dane obywateli zawarte w księgach. Sposób, w jaki Ministerstwo Sprawiedliwości chce ten cel osiągnąć, wywołuje jednak liczne obawy, także ze strony najbardziej właściwego organu, jakim jest Urząd Ochrony Danych Osobowych. Bo jeśli skończymy z anonimowym przeglądaniem ksiąg wieczystych, to jak chronić dane przeglądających? Alternatywą byłoby zmniejszenie zakresu danych widocznych w księgach, co jednak budzi wątpliwości praktyków.
rodo 345
PrawnicyRODO
Przejdź do artykułu: UODO: Fundacja od nieodpłatnej pomocy prawnej ukarana za naruszenia RODO
Organizacje pozarządowe realizujące zadania publiczne - zwłaszcza w obszarach wrażliwych - podlegają takim samym rygorom ochrony danych osobowych jak inne podmioty, które podlegają reżimowi RODO – przypomina Urząd Ochrony Danych Osobowych. Systemowy problem nieświadomości tych regulacji ujawnił przypadek Fundacji Lumus, która uczestniczy w systemie nieodpłatnej pomocy prawnej. Za łamanie przepisów o ochronie danych otrzymała blisko 23 tys. zł kary.

Polecamy książki biznesowe

Przejdź do: Ochrona sygnalistów i przeciwdziałanie korupcji w praktyce biznesowej, Bartosz Bacia - otwiera się w nowym oknie
Nowość
Ochrona sygnalistow Compliance BACIA rgb
10% Rabatu
Sprawdź
Cena promocyjna: 152,09 zł | Cena regularna: 169,00 zł
Najniższa cena w ostatnich 30 dniach: 126,75 zł
Przejdź do: Zakaz prowadzenia działalności gospodarczej. Zagadnienia praktyczne, Aleksandra Machowska - otwiera się w nowym oknie
Nowość
Zakaz prowadzenia dzialalnosci gospodarczej w postepowaniu upadlosciowym rgb
30% Rabatu
Sprawdź
Cena promocyjna: 139,29 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 199,00 zł
Przejdź do: Instytucje gospodarki rynkowej, Tadeusz Włudyka, Marek Porzycki - otwiera się w nowym oknie
Nowość
Instytucje gospodarki w4 WLUDYKA rgb
10% Rabatu
Sprawdź
Cena promocyjna: 71,11 zł | Cena regularna: 79,00 zł
Najniższa cena w ostatnich 30 dniach: 59,25 zł
Przejdź do: Prawo autorskie. Komentarz, Adrian Niewęgłowski - otwiera się w nowym oknie
Nowość
Prawo autorskie w2 NIEWEGLOWSKI RGB
10% Rabatu
Sprawdź
Cena promocyjna: 323,10 zł | Cena regularna: 359,00 zł
Najniższa cena w ostatnich 30 dniach: 269,24 zł