Prezes Urzędu Ochrony Danych Osobowych nałożył ponad 11 mln zł kary na firmę kurierską DPD za naruszenie przepisów RODO – poinformował w poniedziałek (23 lutego) UODO. Według Urzędu, DPD korzystała z usług zewnętrznych przewoźników transportowych bez zawarcia z nimi umów dot. przetwarzania danych osobowych.
UODO zwrócił uwagę, że firma DPD Polska korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która – zdaniem DPD – nie łączyła się z przetwarzaniem przez przewoźników danych osobowych.
Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO
– przekazano.
Urząd podkreślił, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata. Zdaniem Urzędu, spółka jako administrator danych osobowych nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora.
W komunikacie podkreślono, że zewnętrzni przewoźnicy zobowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi.
Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym regulowanych nimi zasad przetwarzania, stanowiły przesłankę skorzystania przez Prezesa UODO z uprawnienia do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł
– przekazał UODO.
Urząd podkreślił, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej.
Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia
– dodano.
UODO przypomniał, że administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, Prezes UODO nałożył karę na administratora w kwocie 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych, służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł.