Ponad 11 mln zł kary nałożył na DPD Polska sp. z o.o. prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski. Zdaniem regulatora spółka przekazywała dane osobowe klientów osobom nieuprawnionym.
- Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD karę przekraczającą 11 mln zł.
- Zdaniem prezesa UODO DPD nie zawarło z podwykonawcami umów o przetwarzanie danych osobowych.
- Według regulatora spółka nie wdrożyła odpowiednich środków organizacyjnych.
Spółka DPD Polska sp. z o.o. korzystała z usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych – ustalił prezes Urzędu Ochrony Danych Osobowych. Regulator poinformował o nałożeniu kary.
Zero.pl poprosiło spółkę o komentarz. "W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami.
Obecnie analizujemy otrzymaną decyzję prezesa UODO. Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych" – przekazało nam DPD Polska, odnosząc się do werdyktu UODO.
Ponad 6 mln zł za brak umów z podwykonawcami
Pierwszy zarzut prezesa UODO dotyczył niezawarcia umów powierzenia przetwarzania danych osobowych z podwykonawcami. Jak wyjaśniono w komunikacie, przesyłki między poszczególnymi oddziałami DPD dostarczali zewnętrzni przewoźnicy (tzw. przewoźnicy LNH). Siłą rzeczy mieli oni dostęp do etykiet adresowych zawierających dane osobowe.
Dla prezesa UODO istotne było również to, że przesyłki transportowano pojazdami, których spółka nie była właścicielem ani do których używania nie miała innej podstawy prawnej. Uprawnieni do dysponowania tymi pojazdami byli wyłącznie zewnętrzni przewoźnicy LNH.
Zdaniem DPD sam przewóz przesyłek nie stanowił przetwarzania danych osobowych, jednak prezes UODO nie zgodził się z tą argumentacją. W jego ocenie do przetwarzania danych osobowych dochodziło zarówno w trakcie transportu przesyłek, jak i podczas ich załadunku oraz rozładunku.
Automatyczne udzielanie upoważnień zakwestionowane przez prezesa UODO
Drugi zarzut dotyczył niewdrożenia postanowień polityki ochrony danych w zakresie udzielania upoważnień, do czego spółka była zobowiązana. Prezes UODO ustalił, że w DPD nie powołano osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych, co stanowiło naruszenie obowiązującej w spółce polityki ochrony danych.
Spółka wdrożyła system informatyczny, który generował nowym pracownikom upoważnienia po odbyciu przez nich na elektronicznej platformie edukacyjnej szkolenia z zakresu ochrony danych osobowych. Zaliczenie testu skutkowało automatycznym wygenerowaniem pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych.
Jak zauważył prezes UODO, dokument ten nie zawierał jednak takich informacji jak imię i nazwisko pracownika ani podpisu osoby udzielającej upoważnienia. W ocenie organu automatycznie wygenerowany z systemu plik o niejednoznacznej treści nie mógł zostać uznany za wiążące upoważnienie do przetwarzania danych.
Za naruszenie przepisów RODO polegające na niezawarciu umów powierzenia przetwarzania danych osobowych z podwykonawcami prezes UODO nałożył na DPD karę w wysokości 6,251 mln zł, a za niewdrożenie środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych – 5,209 mln zł. Łączna kara przekroczyła tym samym 11 mln zł.