Prezes Urzędu Ochrony Danych Osobowych nałożył ponad 11 mln zł kary na DPD Polska za naruszenia przepisów RODO. Sprawa dotyczyła między innymi braku umów powierzenia przetwarzania danych z zewnętrznymi przewoźnikami oraz niewystarczających środków organizacyjnych. Decyzja UODO to ważny sygnał dla branży e-commerce, która na co dzień przetwarza dane klientów i współpracuje z operatorami logistycznymi.
Z tego artykułu dowiesz się:
- za jakie konkretne naruszenia RODO UODO nałożył ponad 11 mln zł kary,
- jakie są szczegóły dotyczące braku umów powierzenia przetwarzania danych,
- jakie błędy organizacyjne wskazał organ nadzorczy,
- jakie ryzyka regulacyjne dotyczą właścicieli e-sklepów.
Brak umów powierzenia przetwarzania danych z przewoźnikami
Kluczowy zarzut dotyczył korzystania przez DPD Polska z usług niektórych zewnętrznych przewoźników bez zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Spółka argumentowała, że przedmiotem współpracy była wyłącznie czynność przewozu, która w jej ocenie nie wiązała się z przetwarzaniem danych osobowych przez przewoźników. Prezes UODO nie podzielił tej interpretacji i uznał, że brak umów powierzenia stanowi naruszenie art. 28 ust. 3 RODO.
Za to naruszenie nałożono karę w wysokości 6,251 mln zł. Urząd wskazał, że w procesie doręczania przesyłek przetwarzane były między innymi imię i nazwisko, adres e-mail, numer telefonu, adres nadania i doręczenia, numer rachunku bankowego w przypadku przesyłek pobraniowych, nazwa firmy, numer przesyłki oraz podpis nadawcy i adresata. Zewnętrzni przewoźnicy uczestniczyli w załadunku i rozładunku, a tym samym mieli dostęp do danych widocznych na etykietach adresowych.
Dla e-sklepów oznacza to jedno. Każdy podmiot, który ma dostęp do danych klientów w ramach realizacji zamówienia, powinien być objęty prawidłowo skonstruowaną umową powierzenia przetwarzania danych.
Słuchaj podcastu „E-commerce bez tajemnic”
Niewystarczające środki organizacyjne i problem z upoważnieniami
Drugie naruszenie dotyczyło braku wdrożenia odpowiednich środków organizacyjnych zapewniających bezpieczeństwo danych oraz prawidłowego systemu nadawania upoważnień do ich przetwarzania. UODO wskazał, że administrator nie zapewnił, aby dane były przetwarzane wyłącznie na jego polecenie. Dodatkowo nie wyznaczono osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych, co naruszało przyjętą w spółce politykę ochrony danych oraz zasady poufności i rozliczalności.
Nowym pracownikom upoważnienia były generowane automatycznie po ukończeniu szkolenia online i zaliczeniu testu. Dokument nie zawierał jednak istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. Za to naruszenie Prezes UODO nałożył karę w wysokości 5,209 mln zł. Dla właścicieli e-sklepów to wyraźne przypomnienie, że automatyzacja procesów compliance nie zwalnia z obowiązku zapewnienia realnej kontroli nad przetwarzaniem danych.
Kara UODO dla DPD Polska a ryzyka po stronie e-commerce
Sprawa ma znaczenie wykraczające poza jedną firmę kurierską. Model sprzedaży internetowej opiera się na łańcuchu podmiotów przetwarzających dane. Sklep internetowy jako administrator przekazuje dane operatorowi logistycznemu, integratorowi płatności, firmie księgowej czy dostawcy systemu IT.
Decyzja UODO pokazuje, że organ nadzorczy analizuje nie tylko sam fakt przetwarzania danych, lecz także formalne i organizacyjne podstawy współpracy z partnerami. W praktyce oznacza to konieczność audytu umów powierzenia przetwarzania danych, weryfikacji zakresu dostępu do danych przez podwykonawców oraz sprawdzenia, czy upoważnienia dla pracowników są udzielane w sposób zgodny z przepisami i rzeczywistą strukturą organizacyjną.
Wysokość kary przekraczająca 11 mln zł pokazuje skalę ryzyka finansowego. RODO przewiduje możliwość nałożenia kar sięgających do 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa. W tym przypadku organ zdecydował się na sankcję administracyjną w milionach złotych, co stanowi jedną z wyższych kar w ostatnim czasie.
Przeczytaj również: Rynek kurierski w Polsce się domyka. 10 firm kontroluje niemal całą logistykę
FAQ. Pytania o karę UODO dla DPD Polska
- Czy każda firma logistyczna musi mieć umowę powierzenia przetwarzania danych?
Jeżeli podmiot zewnętrzny ma dostęp do danych osobowych w związku z realizacją usługi i działa na zlecenie administratora, co do zasady konieczne jest zawarcie umowy powierzenia zgodnie z art. 28 RODO. - Czy etykieta z danymi na przesyłce oznacza przetwarzanie danych?
Zdaniem UODO tak. Dostęp do danych widocznych na etykiecie w ramach realizacji usługi transportowej może oznaczać przetwarzanie danych osobowych. - Czy automatyczne nadawanie upoważnień jest dopuszczalne?
System informatyczny może wspierać proces, jednak upoważnienie musi zawierać wszystkie wymagane elementy i wynikać z realnej decyzji administratora. Brak kluczowych danych w dokumencie może zostać uznany za naruszenie zasad rozliczalności. - Jakie ryzyko ponosi e-sklep współpracujący z podwykonawcami?
Administrator odpowiada za prawidłowe uregulowanie relacji z procesorami. Brak umów, nieprecyzyjny zakres przetwarzania lub niewystarczające środki organizacyjne mogą skutkować karą finansową oraz odpowiedzialnością reputacyjną.
