Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska sp. z o.o. dwie kary administracyjne w łącznej kwocie ponad 11 mln zł. Kontrola wykazała, że firma zlecała przewóz przesyłek zewnętrznym podmiotom, bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Nie dochowała też obowiązków dotyczących nadawania upoważnień do przetwarzania danych pracownikom.
Decyzja (sygn. DKN.5112.1.2023) zakończyła postępowanie wszczęte z urzędu, dotyczące przetwarzania danych osobowych w związku ze świadczeniem usług w zakresie doręczania przesyłek kurierskich.
- W toku postępowania wykazano, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata - wylicza UODO.
Pierwsze zastrzeżenie dotyczy tego, co działo się z paczkami przewożonymi między oddziałami spółki. Za ich transport odpowiadały firmy zewnętrzne (tzw. przewoźnicy LNH). DPD jako administrator danych nie zawarł jednak z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych. Spółka uważała, że czynność przewozu nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych, zatem zawarcie umowy nie było potrzebne. Mirosław Wróblewski, prezes UODO, nie podzielił tej interpretacji. Uznał, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, spółka naruszyła art. 28 ust. 3 RODO.
- Zewnętrzni przewoźnicy LNH obowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi – tłumaczy urząd. Dodaje, że część transportów była realizowana samochodami użytkowanymi przez zewnętrznych przewoźników, do dysponowania którymi DPD nie miało prawa.
UODO dodaje, że spółka nie zapewniła również, żeby przetwarzanie danych odbywało się wyłącznie na polecenie administratora.
Za niezawarcie umowy powierzenia przetwarzania danych osobowych UODO nałożył karę 6,251 mln zł.
Inne zastrzeżenie dotyczy nieudzielania pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Według obowiązującej w spółce polityki ochrony danych, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia online. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych. UODO opisuje jednak, że dokument nie zawierał istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia.
Z decyzji wynika, że generowanego automatycznie pliku o niejasnej treści, z ogólnikową formułką, nie można zakwalifikować jako upoważnienia do przetwarzania danych, doszło zatem do naruszenia art. 32 ust. 4 i art. 29 RODO.
Ponadto oznacza to, że spółka nie wdrożyła postanowień polityki ochrony danych dotyczących udzielania upoważnień, do czego zgodnie z art. 24 ust. 2 RODO była obowiązana ze względu na skalę przetwarzania przez nią danych.
Za niewdrożenie środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych kara wyniosła 5,209 mln zł.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
