Prezes UODO nałożył karę na DPD za za naruszenie przepisów RODO

UODO zwrócił uwagę, że firma DPD Polska korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która - zdaniem DPD - nie łączyła się z przetwarzaniem przez przewoźników danych osobowych. "Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO" - przekazano.

Reklama
Ustawa Kamilka na celowniku. Prezes UODO domaga się zmian w przepisach
Ustawa Kamilka na celowniku. Prezes UODO domaga się zmian w przepisach

Zobacz również

Urząd podkreślił, że w procesie doręczania przesyłek administrator przetwarzał następujące dane:

  • imiona,
  • nazwiska,
  • adres poczty elektronicznej,
  • numer telefonu,
  • adresy (nadania, doręczenia, przekierowania przesyłki),
  • numer konta bankowego (w przypadku usługi doręczenia za pobraniem),
  • nazwę firmy,
  • numer przesyłki
  • podpis własnoręczny nadawcy i adresata.

Zdaniem Urzędu, spółka jako administrator danych osobowych nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora.

W komunikacie podkreślono, że zewnętrzni przewoźnicy zobowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi.

Kara o łącznej kwocie ponad 11 mln zł

"Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez Prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł” - przekazał UODO.

Urząd podkreślił, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. "Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia"- dodano.

UODO przypomniał, że administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, Prezes UODO nałożył karę na administratora w kwocie 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych, służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.