Co się dzieje z informacjami udostępnianymi firmom kurierskim lub Poczcie Polskiej? Kto odpowiada za ich bezpieczeństwo? Według GUS tylko w ubiegłym roku operatorzy pocztowi w obrocie krajowym doręczyli m.in. 1 243 mln przesyłek listowych i 287 mln paczek kurierskich. Oznacza to ogromną skalę przetwarzanych danych osobowych, które łatwo mogą wpaść w niepowołane ręce.
Praktyka ochrony danych osobowych
Wiele firm kurierskich wypracowuje swoje wewnętrzne standardy bezpieczeństwa informacji. Ich podstawą są obowiązujące przepisy, a także zwyczaje przy utrzymaniu systemów informatycznych. Firma kurierska stanowi integralną część łańcucha dostaw dla wielu przedsiębiorców. Po wprowadzeniu RODO wzrasta świadomość bezpieczeństwa danych osobowych w organizacjach współpracujących z dostawcami tych usług.
Największe obostrzenia dotyczące ochrony danych zauważalne są w sektorze publicznym oraz u przedsiębiorców przetwarzających dane szczególnej kategorii, dawniej zwane danymi wrażliwymi, np. medyczne, o pochodzeniu rasowym lub etnicznym, przynależności do związków zawodowych itp. W niektórych przypadkach firmy przewozowe zobowiązane są do dostosowania się do polityki w zakresie ochrony danych osobowych swoich klientów. Powinny choćby wdrożyć odpowiednie środki techniczne i organizacyjne, by zapewnić bezpieczeństwo odpowiadające ryzyku – właściwie zabezpieczyć witryny internetowe, które służą do generowania listów przewozowych – mówi Bartłomiej Muzaj, specjalista ds. ochrony danych, ODO 24.
Niestety nie zawsze przepisy ochrony danych osobowych są przestrzegane przez samych kurierów i listonoszy. Zostawiają oni przesyłki w niepowołanych rękach, najczęściej u sąsiadów lub na recepcjach firm. Dane odbiorów listów i paczek mogą też poznać osoby postronne z awizo niedbale wsuniętego do skrzynki lub szczeliny między drzwiami i ościeżnicą. Warto zwrócić uwagę, że na paczce nie powinien widnieć numer telefonu, który – co do zasady – jest traktowany jako dane osobowe. Może on znajdować się jedynie na liście przewozowym, który odrywa kurier czy listonosz.
Ze względu na skalę przetwarzania danych osobowych, a także ogromne kary jakie nakłada RODO, firmy kurierskie oraz Poczta Polska powinny zadbać o odpowiedni poziom wiedzy zatrudnianych osób. Nawet najlepsze zabezpieczenia stają się bezużyteczne, jeśli ludzie się do nich nie stosują. Warto więc pamiętać o cyklicznym szkoleniu pracowników i zwiększaniu ich świadomości w zakresie ochrony danych osobowych.
Ochrona zgodna z RODO
Kto jest administratorem informacji, które widnieją na przesyłkach? Kupując w e-sklepie podajemy dane umożliwiające dostarczenie oczekiwanych produktów. Tym samym ich właściciele stają się administratorami danych i odpowiadają za ich ochronę. Nie zawsze występuje konieczność zawarcia umowy powierzenia przetwarzania danych z firmami przewozowymi. Należy rozgraniczyć sytuację, w której dana firma jest wpisana do rejestru UKE jako operator pocztowy i przetwarza dane w związku ze świadczeniem usług pocztowych. W stosunku do takiego podmiotu (np. Poczta Polska) nie trzeba podpisywać umowy powierzenia – wskazuje ekspert ODO 24.
Firma kurierska działająca na podstawie prawa pocztowego zobowiązana jest do zachowania tajemnicy pocztowej. Obejmuje ona informacje przekazywane w przesyłkach pocztowych, informacje dotyczące realizowania przekazów pocztowych, dane związane z podmiotami korzystającymi z usług pocztowych oraz informacje odnoszące się do faktu i okoliczności świadczenia usług pocztowych lub korzystania z nich. Do zachowania tajemnicy pocztowej są obowiązani zarówno operator pocztowy jak i osoby, które – z racji wykonywanej działalności – mają do niej dostęp. W takim przypadku nie powstaje obowiązek zawierania umowy powierzenia przetwarzania danych osobowych.
Jeżeli natomiast administrator danych korzysta usług operatora pocztowego, które wykraczają poza świadczenie usług pocztowych i dochodzi do przekazania danych, umowę powierzenia przetwarzania danych należy podpisać. Podobnie sytuacja kształtuje się, jeżeli firma kurierska działa na podstawie przepisów Prawa przewozowego. W tym przypadku konieczność podpisania umowy powierzenia przetwarzana danych będzie uzależniona od rodzaju świadczonych usług (np. kurier dostarcza klientowi umowę, którą ten podpisuje i następnie mu ją bezpośrednio oddaje) – wskazuje Bartłomiej Muzaj z ODO 24.
Warto wiedzieć, że RODO ustanawia na podmiotach innych niż administrator danych osobowych obowiązek reagowania na incydenty związane z ich ochroną oraz współpracę z ADO. W razie stwierdzenia naruszenia na podmiocie przetwarzającym spoczywa obowiązek przekazania informacji do administratora. Prawo to zapisane jest w art. 33 RODO, zgodnie z którym w przypadku naruszenia ochrony informacji, administrator bez zbędnej zwłoki, czyli nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je do Prezesa Urzędu Ochrony Danych Osobowych. Dlatego wszystkie przedsiębiorstwa zanim wybiorą instytucje przewozowe powinny sprawdzić, czy te dbają o odpowiedni poziom bezpieczeństwa przetwarzanych danych.
