Szef Urzędu Ochrony Danych Osobowych wymierzył grzywnę przekraczającą 11 mln zł dla firmy kurierskiej DPD za złamanie przepisów GDPR – poinformował w poniedziałek UODO. Według informacji Urzędu, DPD używała usług zewnętrznych firm transportowych bez spisania z nimi umów dotyczących obróbki danych osobowych.
UODO zwrócił uwagę, że firma DPD Polska wykorzystywała niektóre usługi przewozowe podmiotów zewnętrznych bez wcześniejszego ustanowienia z nimi umów powierzenia przetwarzania danych osobowych. Spółka utrzymywała, że nie było to wymagane, ponieważ przedmiotem kontraktu była czynność transportu, która – według DPD – nie wiązała się z obróbką przez przewoźników danych osobowych. „Szef UODO nie zgodził się ze stanowiskiem spółki, orzekając, że nie zawierając z wspomnianymi przewoźnikami umów powierzenia obróbki, dopuściła się ona naruszenia art. 28 ust. 3 RODO” – poinformowano.
Urząd zaznaczył, że w trakcie dostarczania paczek administrator przetwarzał następujące informacje: imiona, nazwiska, adres e-mail, numer telefonu, adresy (nadania, doręczenia, zmiany adresu), numer konta bankowego (w przypadku usługi dostarczenia za pobraniem), nazwę firmy, numer paczki i podpis własnoręczny nadawcy i adresata. W opinii Urzędu, spółka jako administrator danych osobowych nie zagwarantowała także, by ich obróbka odbywała się jedynie na polecenie administratora.
W komunikacie podkreślono, że firmy przewozowe z zewnątrz były zobowiązane do brania udziału w załadunku i rozładunku przesyłek, posiadając w ten sposób dostęp do umieszczonych na nich etykiet adresowych z danymi osobowymi.
Brak wyznaczenia osoby upoważnionej do przydzielania zezwoleń na przetwarzanie danych osobowych stanowiło złamanie regulacji obowiązującej w spółce polityki ochrony danych i reguł poufności i rozliczalności. Wykazane naruszenia przepisów o ochronie danych osobowych, w tym uregulowanych nimi zasad przetwarzania, były podstawą do wykorzystania przez Szefa UODO prawa do nałożenia kar administracyjnych o łącznej sumie ponad 11 mln zł – przekazał UODO.
Urząd zaakcentował, że administrator nie przyznawał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Nowym pracownikom upoważnienia były nadawane automatycznie przez system informatyczny po ukończeniu przez nich szkolenia dotyczącego zasad ochrony danych osobowych na platformie edukacyjnej online. „Zdanie testu powodowało automatyczne stworzenie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, lecz nieobejmujące istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia” – dodano.
UODO przypomniał, że administrator danych powinien upewnić się, że przetwarzanie danych odbywa się z jego zezwolenia i na jego wyłączne polecenie. Za naruszenie przepisów RODO polegające na nie zawarciu umowy powierzenia przetwarzania danych osobowych, Szef UODO nałożył karę na administratora w wysokości 6,251 mln zł. Za drugie naruszenie, polegające na niewprowadzeniu środków organizacyjnych, mających na celu zagwarantowanie odpowiedniego bezpieczeństwa danych, Szef UODO nałożył na administratora karę w kwocie 5,209 mln zł. (PAP)
(planujemy rozwinięcie tematu)
fos/ mrr/