DPD bada decyzję szefa UODO – poinformowała Agencję Prasową Polska spółka, komentując nałożenie na nią kary w wysokości 11 mln zł za złamanie regulacji RODO. Zapewniła, iż wypełnia wszelkie standardy bezpieczeństwa w kwestii ochrony danych osobowych.
Urząd Ochrony Danych Osobowych ogłosił w poniedziałek, że prezes UODO wymierzył ponad 11 mln zł kary dla firmy kurierskiej DPD za naruszenie postanowień RODO. Według Urzędu, DPD wykorzystywała usługi zewnętrznych firm transportowych bez podpisania z nimi umów dotyczących przetwarzania danych osobowych.
UODO zwrócił uwagę, że firma DPD Polska używała pewnych usług transportowych zewnętrznych przewoźników, nie zawierając wcześniej z nimi umów o powierzeniu przetwarzania danych osobowych. Spółka dowodziła, iż nie było to konieczne, gdyż przedmiotem umowy była operacja przewozu, która – zdaniem DPD – nie łączyła się z operowaniem przez przewoźników danymi osobowymi. „Prezes UODO nie zaakceptował stanowiska firmy, orzekając, że nie zawierając z owymi przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO” – przekazano.
Firma DPD oznajmiła PAP, że aktualnie analizuje otrzymaną decyzję szefa UODO. „Zależy nam na uczciwym wyjaśnieniu tematu i zademonstrowaniu, że nasze rozwiązania i procedury spełniają wszelkie standardy bezpieczeństwa ochrony danych osobowych. W DPD z należytą uwagą traktujemy jakość i bezpieczeństwo naszych usług oraz ochronę danych związanych z tymi procesami” – dodała.
UODO podkreślił, że w toku dostarczania przesyłek administrator przetwarzał następujące informacje: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, zmiany adresu przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz odręczny podpis nadawcy i adresata. Według Urzędu, spółka, jako administrator danych osobowych, nie zapewniła również, by ich operowanie odbywało się wyłącznie na polecenie administratora.
W komunikacie podkreślono, że zewnętrzni przewoźnicy mieli obowiązek uczestniczyć w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi.
„Nieustalenie osoby upoważnionej do nadawania upoważnień do operowania danymi osobowymi stanowiło pogwałcenie postanowień obowiązującej w firmie polityki ochrony danych i reguł poufności oraz rozliczalności. Wykazane pogwałcenia przepisów o ochronie danych osobowych, w tym zasad przetwarzania nimi regulowanych, były powodem skorzystania przez Prezesa UODO z prawa do nałożenia kar administracyjnych o łącznej kwocie ponad 11 mln zł” – przekazał UODO.
Urząd zaznaczył, że administrator nie dawał pracownikom efektywnych i prawidłowych upoważnień do przetwarzania danych. Nowym pracownikom upoważnienia były dawane automatycznie przez system informatyczny po przejściu przez nich szkolenia z zakresu reguł ochrony danych osobowych na e-platformie edukacyjnej. „Zdanie testu powodowało automatyczne stworzenie pliku z treścią sugerującą, że jest to upoważnienie do operowania danymi, jednak nie zawierające istotnych detali, takich jak imię i nazwisko pracownika oraz podpis osoby dającej upoważnienie” – dodano.
UODO przypomniał, że administrator danych winien zadbać o to, aby przetwarzanie danych odbywało się z jego aprobaty i na jego jedyne zlecenie. Za naruszenie przepisów RODO, polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, Prezes UODO nałożył karę na administratora w wysokości 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych, służących zapewnieniu właściwego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w wysokości 5,209 mln zł. (PAP)
Stanowisko firmy DPD
W DPD przykładamy należytą wagę do jakości i bezpieczeństwa naszych usług oraz ochrony danych związanych z tymi procesami.
Obecnie analizujemy uzyskaną decyzję PUODO. Ważne jest dla nas rzetelne objaśnienie sytuacji i udowodnienie, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa danych osobowych.
fos/ mrr/ mmu/