Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł.

DPD Polska z zarzutami prezesa UODO

Decyzja prezesa UODO Mirosława Wróblewskiego zakończyła postępowanie administracyjne wszczęte z urzędu, które zostało poprzedzone przeprowadzeniem czynności kontrolnych w siedzibie spółki. Zakresem kontroli objęto przetwarzanie danych osobowych w związku ze świadczeniem usług w zakresie doręczania przesyłek kurierskich.

W toku postępowania wykazano, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata.

Między oddziałami DPD Polska przesyłki dostarczali przewoźnicy zewnętrzni (tzw. przewoźnicy LNH). Administrator nie zawarł jednak z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która, zdaniem spółki, nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych. Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO.

Prezes UODO zauważył w uzasadnieniu decyzji, że wg postanowień zawartych z nimi przez spółkę umów, zewnętrzni przewoźnicy LNH obowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi. Poza tym, przesyłki były transportowane także pojazdami, których spółka nie była właścicielem, ani do których używania nie miała innej podstawy prawnej. W takich przypadkach uprawnieni do dysponowania tymi pojazdami byli zewnętrzni przewoźnicy LNH.

DPD Polska ukarane przez UODO

Administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Zostało to usankcjonowane w treści obowiązującej w spółce polityce ochrony danych. W zamyśle spółki, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej.

Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. Wobec powyższego, prezes UODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia do przetwarzania danych. Powyższe stanowiło z kolei naruszenie art. 32 ust. 4 i art. 29 RODO.

Prezes UODO stwierdził, że doszło do poważnego naruszenia przepisów RODO.

  • Zewnętrzni przewoźnicy brali udział w przetwarzaniu danych osobowych w trakcie przewozu przesyłek oraz w momencie ich załadunku i rozładunku. Jednak w związku z ww. czynnościami nie zawarto z nimi umów powierzenia przetwarzania danych osobowych
  •  Administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Jedną z form wykazania, że tak jest w istocie, stanowi udzielenie stosownych upoważnień przez administratora. Samo odnotowanie zaliczenia testu z wiedzy o ochronie danych i automatyczne wygenerowanie z systemu teleinformatycznego elektronicznego pliku z ogólnikową formułką upoważnienia, takim upoważnieniem nie jest i nie można go bowiem poczytywać za oświadczenie woli administratora w tym przedmiocie.
  • Nieprawidłowe postępowanie spółki jako administratora danych osobowych, przejawiało się również w niewdrożeniu postanowień polityki ochrony danych dotyczących udzielania upoważnień, do wdrożenia której spółka, z uwagi na skalę przetwarzania danych osobowych, była zobowiązana (taki obowiązek został przewidziany art. 24 ust. 2 RODO).

Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, prezes UODO nałożył karę na administratora w kwocie 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.

Stanowisko firmy DPD

Po publikacji artykułu dostaliśmy oświadczenie DPD Polska. Jego treść poniżej.

„W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami. Obecnie analizujemy otrzymaną decyzję Prezesa UODO. Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych.”