Naruszenie przepisów RODO przez firmę kurierską

DPD Polska sp. z o.o. korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Spółka jako administrator danych osobowych nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora. Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez Prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł.

Decyzja prezesa UODO Mirosława Wróblewskiego zakończyła postępowanie administracyjne wszczęte z urzędu, które zostało poprzedzone przeprowadzeniem czynności kontrolnych w siedzibie spółki. Zakresem kontroli objęto przetwarzanie danych osobowych w związku ze świadczeniem usług w zakresie doręczania przesyłek kurierskich.

W toku postępowania wykazano, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata.

Między oddziałami spółki przesyłki dostarczali przewoźnicy zewnętrzni (tzw. przewoźnicy LNH). Administrator nie zawarł jednak z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która, zdaniem spółki, nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych. Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO.

Prezes UODO zauważył w uzasadnieniu decyzji, że wg postanowień zawartych z nimi przez spółkę umów, zewnętrzni przewoźnicy LNH obowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi. Poza tym, przesyłki były transportowane także pojazdami, których spółka nie była właścicielem, ani do których używania nie miała innej podstawy prawnej. W takich przypadkach uprawnieni do dysponowania tymi pojazdami byli zewnętrzni przewoźnicy LNH.

Administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Zostało to usankcjonowane w treści obowiązującej w spółce polityce ochrony danych. W zamyśle spółki, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. Wobec powyższego, PUODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia do przetwarzania danych. Powyższe stanowiło z kolei naruszenie art. 32 ust. 4 i art. 29 RODO.

Prezes UODO stwierdził, że doszło do poważnego naruszenia przepisów RODO.

• Zewnętrzni przewoźnicy brali udział w przetwarzaniu danych osobowych w trakcie przewozu przesyłek oraz w momencie ich załadunku i rozładunku. Jednak w związku z ww. czynnościami nie zawarto z nimi umów powierzenia przetwarzania danych osobowych
•  Administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Jedną z form wykazania, że tak jest w istocie, stanowi udzielenie stosownych upoważnień przez administratora. Samo odnotowanie zaliczenia testu z wiedzy o ochronie danych i automatyczne wygenerowanie z systemu teleinformatycznego elektronicznego pliku z ogólnikową formułką upoważnienia, takim upoważnieniem nie jest i nie można go bowiem poczytywać za oświadczenie woli administratora w tym przedmiocie.
• Nieprawidłowe postępowanie spółki jako administratora danych osobowych, przejawiało się również w niewdrożeniu postanowień polityki ochrony danych dotyczących udzielania upoważnień, do wdrożenia której spółka, z uwagi na skalę przetwarzania danych osobowych, była zobowiązana (taki obowiązek został przewidziany art. 24 ust. 2 RODO).

Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, PUODO nałożył karę na administratora w kwocie 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.

DKN.5112.1.2023