Firma kurierska DPD została ukarana przez prezesa Urzędu Ochrony Danych Osobowych (UODO) Mirosława Wróblewskiego za naruszenie przepisów RODO. Firma miała korzystać z "niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych". Co więcej, jak napisano w komunikacie, "nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora". W efekcie podjęto decyzję o nałożeniu na spółkę kar w łącznej wysokości ponad 11 mln zł.
UODO: Zabrało ważnej umowy. Wielka kara dla DPD
"Decyzja prezesa UODO Mirosława Wróblewskiego zakończyła postępowanie administracyjne wszczęte z urzędu, które zostało poprzedzone przeprowadzeniem czynności kontrolnych w siedzibie spółki" - poinformowano w komunikacie. W trakcie postępowania odkryto, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata.
Przesyłki, zawierające wspomniane dane, dostarczali między oddziałami przewoźnicy zewnętrzni (LNH). W takiej sytuacji wymagane jest podpisanie umów powierzenia przetwarzania danych. DPD tłumaczyło, że nie było potrzeby zawierania takich porozumień, bo "przedmiotem umowy była czynność przewozu, która, zdaniem spółki, nie łączyła się z przetwarzaniem przez przewoźników danych osobowych". Takie argumenty nie przekonały jednak prezesa UODO.
W uzasadnieniu kary wskazano, że "według postanowień zawartych z nimi przez spółkę umów, zewnętrzni przewoźnicy LNH obowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi". Zauważano też, że przesyłki były transportowane także pojazdami, których spółka nie była właścicielem, ani do których używania nie miała innej podstawy prawnej. Nałożono za to 6,251 mln zł kary.
Nowi pracownicy nie byli wystarczająco przeszkoleni? Jest kara
Zastrzeżenia wzbudził także fakt, że administrator miał nie udzielać pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych.
"W zamyśle spółki, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia" - opisuje UODO. Dlatego uznano, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia do przetwarzania danych.
DPD dostało za to karę w wysokości 5,209 mln zł. Poprosiliśmy firmę o ustosunkowanie się do tych zarzutów. "W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami. Obecnie analizujemy otrzymaną decyzję PUODO. Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych" - przekazano nam w stanowisku.
Przeczytaj też: Nowe cła. Stracą sojusznicy USA, zyskają Chiny. "Potknięcie o własne nogi".
