Urząd Ochrony Danych Osobowych zwrócił uwagę, że firma DPD Polska korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która – zdaniem DPD – nie łączyła się z przetwarzaniem przez przewoźników danych osobowych.
"Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO" – przekazano.
UODO: DPD Polska naruszył RODO
Urząd podkreślił, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata. Zdaniem Urzędu, spółka jako administrator danych osobowych nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora.
W komunikacie podkreślono, że zewnętrzni przewoźnicy zobowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi.
"Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez Prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł" – przekazał UODO.
Taką grzywnę ma zapłacić DPD Polska
Urząd podkreślił, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej.
"Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia" – dodano.
UODO przypomniał, że administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, Prezes UODO nałożył karę na administratora w kwocie 6,251 mln zł.
Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych, służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.
Firma DPD Polska poinformowała, że obecnie analizuje otrzymaną decyzję prezesa UODO. "Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych. W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami" – dodała.
Źródło: PAP
