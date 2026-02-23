Urząd ukarał przewoźnika za dwa naruszenia. Pierwsze to naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, Prezes UODO nałożył karę na administratora w kwocie 6,251 mln zł.
UODO zwrócił uwagę, że firma DPD Polska korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych.
Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która - zdaniem DPD - nie łączyła się z przetwarzaniem przez przewoźników danych osobowych. "Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO" - przekazano.
Dostęp do etykiet z danymi
Urząd podkreślił, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata. Zdaniem Urzędu, spółka jako administrator danych osobowych nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora.
W komunikacie podkreślono, że zewnętrzni przewoźnicy zobowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi.
UODO karze DPD za brak wewnętrznych regulacji
Drugie naruszenie polega na niewdrożeniu środków organizacyjnych, służących zapewnieniu odpowiedniego bezpieczeństwa danych. Za to prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.
"Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez Prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł" - przekazał UODO.
Urząd podkreślił, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. "Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia" - dodano.
UODO przypomniał, że administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie.
Zwróciliśmy się do firmy DPD z prośbą o komentarz.
Opracowała Alicja Skiba/ams
Źródło: PAP
Źródło zdjęcia głównego: alexgo.photography/Shutterstock