Urzędnicy ustalili, że firma DPD przy doręczaniu przesyłek korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych.
Jak wyjaśniono w komunikacie, między oddziałami spółki przesyłki dostarczali przewoźnicy zewnętrzni (tzw. przewoźnicy LNH). Administrator nie zawarł jednak z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która, zdaniem spółki, nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych.
Innego zdania był Prezes Urzędu Ochrony Danych Osobowych, który uznał, że doszło do naruszenia przepisów RODO. W uzasadnieniu decyzji zwrócił uwagę, że według postanowień zawartych przez spółkę umów, zewnętrzni przewoźnicy LNH obowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi. Poza tym, przesyłki były transportowane także pojazdami, których spółka nie była właścicielem, ani do których używania nie miała innej podstawy prawnej. W takich przypadkach uprawnieni do dysponowania tymi pojazdami byli zewnętrzni przewoźnicy LNH.
Czytaj więcej
Naczelny Sąd Administracyjny podtrzymał karę w wysokości ponad 350 tys. zł nałożoną na Bank Millennium za niezgłoszenie naruszenia ochrony danych o...
Prezes UODO: automatyczne generowanie pliku z ogólnikową formułką to nie upoważnienie
Drugie naruszenie dotyczyło udzielania pracownikom upoważnień do przetwarzania danych. Jak czytamy w komunikacie, „zostało to usankcjonowane w treści obowiązującej w spółce polityce ochrony danych. W zamyśle spółki, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia”. Prezes UODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia do przetwarzania danych.
Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, PUODO nałożył karę w wysokości 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych, DPD ma zapłacić 5,209 mln zł kary.
Stanowisko firmy DPD
W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami.
Obecnie analizujemy otrzymaną decyzję PUODO. Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych.
