Najważniejsze informacje w skrócie: 

• Prezes Urzędu Ochrony Danych Osobowych nałożył łącznie ponad 11 mln zł kary na firmę DPD
• Kara dla DPD dotyczy naruszenia przepisów RODO (ochrony danych osobowych). Firma kurierska miała korzystać z usług zewnętrznych przewoźników transportowych bez zawarcia z nimi umów dotyczących przetwarzania danych osobowych
• DPD broniło się, że przedmiotem umów z kurierami "była czynność przewozu" i nie wymagało to przetwarzania danych osobowych. Urząd nie zgodził się z tą argumentacją 

Kurier przetwarza dane osobowe

Urząd Ochrony Danych Osobowych ukarał firmę kurierską DPD za naruszenie przepisów rozporządzenia o ochronie danych osobowych (RODO). DPD będzie musiała zapłacić ponad 11 mln zł kary. 

UODO zwrócił uwagę, że firma DPD Polska korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Pod pojęciem "zewnętrznych przewoźników" kryją się również kurierzy przewożący przesyłki do klientów czy punktów odbioru.

Spółka argumentowała w swojej obronie, że umowa o przetwarzaniu danych nie była konieczna, ponieważ przedmiotem umowy była czynność przewozu, która - zdaniem DPD - nie łączyła się z przetwarzaniem przez przewoźników danych osobowych.

- Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO - przekazał UODO w komunikacie. 

Urząd podkreślił, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata. Wszystkie te dane są danymi osobowymi (z wyjątkiem nazwy firmy - dane przedsiębiorstw są jawne). 

"W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami.
Obecnie analizujemy otrzymaną decyzję PUODO. Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych" - przekazało nam biuro prasowe DPD Polska.

Kary UODO dla DPD

Analiza decyzji Prezesa Urzędu Ochrony Danych Osobowych.

Łączna kwota kar 11,45 mln zł

🚛 Problem "Line Haul"

6,25 mln zł

🗣️ Argumentacja DPD

Kierowca tira wożący paczki z Warszawy do Poznania wykonuje jedynie "usługę przewozu", a nie przetwarza dane osobowe klientów.

⚖️ werdykt UODO

Kierowca uczestniczy w załadunku i ma wgląd w etykiety na paczkach (imiona, nazwiska, numery telefonów). Oznacza to, że ma pełny dostęp do danych.

❌

Błąd Kardynalny Brak odpowiedniej umowy powierzenia przetwarzania danych (art. 28 RODO) z przewoźnikiem.

📄 Pułapka automatyzacji HR

5,2 mln zł

⚙️ System Firmowy

Pracownik przechodził obowiązkowy e-learning, po czym system automatycznie generował i "wypluwał" PDF-a z upoważnieniem do przetwarzania danych.

⚖️ werdykt UODO

Wygenerowany plik PDF nie posiadał ani imienia i nazwiska pracownika, ani fizycznego (lub kwalifikowanego) podpisu przełożonego.

❌

Błąd Kardynalny Z punktu widzenia urzędu, taki plik to nie jest legalne upoważnienie, lecz bezwartościowy "świstek papieru".

Zdaniem Urzędu, spółka jako administrator danych osobowych nie zapewniła przy tym również, żeby przetwarzanie danych odbywało się wyłącznie na polecenie administratora.

W komunikacie UODO podkreślił, że zewnętrzni przewoźnicy zobowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi.

- Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez Prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł - przekazał Urząd.

DPD nie udzielał prawidłowo upoważnień na przetwarzanie danych osobowych

UODO podkreślił, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych zgodnie  prawem. Nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej.

- Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia - podał Urząd.

UODO przypomniał, że administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, Prezes UODO nałożył karę na administratora (czyli firmę DPD) w kwocie 6,251 mln zł.Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych, służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.

Łącznie spółka DPD będzie miała do zapłaty ponad 11,4 mln zł kary. 

Brak umów dotyczył głównie transportu dalekobieżnego

Urząd Ochrony Danych Osobowych zwrócił w przypadku DPD uwagę przede wszystkim na przewoźników wykonujących dla firmy kurierskiej zlecenia tzw. Line Haul. Oznacza to, że problem dotyczył przede wszystkim momentu, w którym paczki przewożone były np. z sortowni lokalnej do centralnej i dalej.

Choć kurierzy doręczający paczki do domów to również zewnętrzni przewoźnicy, w ich przypadku wymogi formalne były zazwyczaj zachowane – uchybienia dotyczyły głównie transportu dalekobieżnego (Line Haul). 

Czytaj także: 

• Kara 34 mln zł dla Orange. UOKiK: Opłaty w ofertach na kartę były bezprawne
• Płaciłeś więcej za kran lub prysznic? UOKiK rozbił zmowę cenową, która uderzała w remontujących
• Koniec Heyah 01. Użytkownicy przeniesieni do konkurencji

Źródło: UODO/PAP/Andrzej Mandel