Jedna z największych firm kurierskich w Polsce musi zapłacić wielomilionową karę. Urząd Ochrony Danych Osobowych uznał, że w spółce doszło do poważnych naruszeń przepisów dotyczących ochrony danych klientów.
Ponad 11 mln zł kary od UODO
Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska administracyjną karę pieniężną w łącznej wysokości ponad 11 milionów złotych.
Sankcja została podzielona na dwie części:
-
6,251 mln zł – za brak zawarcia umów powierzenia przetwarzania danych osobowych,
-
5,209 mln zł – za niewdrożenie odpowiednich środków organizacyjnych zapewniających bezpieczeństwo danych.
Łączna kwota przekracza 11 mln zł.
Zewnętrzni przewoźnicy bez umów
Najpoważniejszy zarzut dotyczył współpracy z firmami transportowymi.
UODO ustalił, że spółka korzystała z usług części zewnętrznych przewoźników bez zawarcia z nimi formalnych umów powierzenia przetwarzania danych osobowych.
Firma argumentowała, że umowy dotyczyły wyłącznie samego przewozu paczek. Organ nadzorczy uznał jednak, że w praktyce przewoźnicy mieli dostęp do danych osobowych, a więc odpowiednie umowy były wymagane.
Chodzi m.in. o sytuacje, w których zewnętrzne firmy uczestniczyły w załadunku i rozładunku przesyłek, mając dostęp do etykiet adresowych.
Jakie dane były przetwarzane?
W procesie doręczania przesyłek przetwarzane były m.in.:
-
imiona i nazwiska,
-
adresy e-mail,
-
numery telefonów,
-
adresy nadania, doręczenia i przekierowania,
-
numer rachunku bankowego (w przypadku przesyłek za pobraniem),
-
nazwa firmy,
-
numer przesyłki,
-
podpis nadawcy i odbiorcy.
UODO wskazał, że administrator danych powinien zapewnić, aby ich przetwarzanie odbywało się wyłącznie na jego polecenie i z zachowaniem pełnej kontroli nad procesem.
Problemy z upoważnieniami dla pracowników
Drugie naruszenie dotyczyło organizacji wewnętrznych procedur.
Z ustaleń urzędu wynika, że pracownicy nie otrzymywali prawidłowo udzielonych upoważnień do przetwarzania danych osobowych. Nowo zatrudnione osoby uzyskiwały je automatycznie po ukończeniu szkolenia online.
System generował dokument sugerujący, że jest to formalne upoważnienie, jednak – jak wskazał UODO – brakowało w nim istotnych elementów, takich jak dane pracownika czy podpis osoby udzielającej upoważnienia.
Zdaniem organu nadzorczego takie rozwiązanie nie spełnia wymogów wynikających z zasad poufności i rozliczalności określonych w RODO.
Firma analizuje decyzję
Po ogłoszeniu decyzji spółka poinformowała, że analizuje otrzymane rozstrzygnięcie. Firma zapowiedziała, że zależy jej na wyjaśnieniu sprawy i wykazaniu, iż stosowane rozwiązania i procedury odpowiadają obowiązującym standardom ochrony danych osobowych.
