Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na spółkę DPD Polska dwie administracyjne kary pieniężne o łącznej wysokości przekraczającej 11 mln zł. Powodem decyzji są wykazane w toku kontroli nieprawidłowości w zakresie powierzania przetwarzania danych zewnętrznym podmiotom oraz uchybienia w systemie nadawania upoważnień pracowniczych.
Postępowanie administracyjne, które doprowadziło do ukarania operatora logistycznego, zostało wszczęte z urzędu po przeprowadzeniu czynności kontrolnych w siedzibie spółki. Kontrola dotyczyła procesów przetwarzania danych osobowych klientów (m.in. imion, nazwisk, adresów, numerów telefonów, a nawet podpisów i numerów kont bankowych) w związku ze świadczeniem usług kurierskich.
Brak umów powierzenia z przewoźnikami zewnętrznymi
Kluczowym punktem sporu między organem nadzorczym a spółką była rola tzw. przewoźników LNH – zewnętrznych podmiotów transportujących przesyłki między oddziałami DPD.
- Stanowisko spółki: DPD argumentowała, że transport przesyłek to jedynie usługa przewozu, która nie wiąże się z przetwarzaniem danych osobowych przez przewoźnika, w związku z czym umowy powierzenia danych (wymagane przez art. 28 ust. 3 RODO) nie są konieczne.
- Decyzja UODO: Prezes Urzędu nie podzielił tej argumentacji. Wskazał, że kierowcy zewnętrznych firm uczestniczyli w załadunku i rozładunku, mając bezpośredni dostęp do etykiet adresowych. Ponadto transport odbywał się pojazdami, którymi dysponowali przewoźnicy, co oznacza, że realnie sprawowali oni pieczę nad danymi.
Za brak zawarcia stosownych umów powierzenia na administratora nałożono karę w wysokości 6,251 mln zł.
Wadliwy system upoważnień dla pracowników
Drugi filar decyzji dotyczy wewnętrznych procedur spółki. Organ nadzorczy zakwestionował automatyczny system nadawania upoważnień do przetwarzania danych.
W DPD Polska upoważnienia były generowane przez system informatyczny po zaliczeniu przez pracownika testu wiedzy na platformie edukacyjnej. PUODO uznał jednak, że powstający w ten sposób plik:
- Nie zawierał imienia i nazwiska pracownika.
- Brakowało na nim podpisu osoby udzielającej upoważnienia w imieniu administratora.
- Miał zbyt ogólnikową treść.
Zdaniem urzędu, takie rozwiązanie nie może być uznane za skuteczne oświadczenie woli administratora. Uznano to za naruszenie art. 29 oraz art. 32 ust. 4 RODO, a także za niewdrożenie własnej polityki ochrony danych (art. 24 ust. 2 RODO). Za te uchybienia organizacyjne spółka musi zapłacić 5,209 mln zł.
Podsumowanie kar
| Rodzaj naruszenia | Podstawa prawna (RODO) | Kwota kary |
|---|---|---|
| Brak umów powierzenia z przewoźnikami LNH | art. 28 ust. 3 | 6,251 mln zł |
| Niewdrożenie odpowiednich środków organizacyjnych (wadliwe upoważnienia) | art. 24 ust. 2, art. 29, art. 32 ust. 4 | 5,209 mln zł |
| ŁĄCZNIE | 11,460 mln zł |
Prezes UODO podkreślił w uzasadnieniu, że administrator danych ma obowiązek zapewnić, aby każdy proces przetwarzania odbywał się wyłącznie na jego polecenie i pod pełną kontrolą, co w tym przypadku nie zostało dochowane. Decyzja o sygnaturze DKN.5112.1.2023 zamyka proces administracyjny w tej sprawie.
