Firma kurierska DPD Polska została ukarana wysoką karą przekraczającą 11 milionów zł przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Kara wynika z poważnego naruszenia zasad RODO, które narażały klientów na ujawnienie ich danych osobowych oraz możliwość identyfikacji przez osoby trzecie. To jedna z najwyższych sankcji nałożonych za naruszenia ochrony danych w ostatnich latach.
- UODO nałożył na DPD Polska karę w wysokości 11 206 800 zł za naruszenia RODO.
- Firma korzystała z usług zewnętrznych przewoźników transportowych bez uprzedniego zawarcia z nimi umów dot. przetwarzania danych osobowych.
- DPD broniło się tym, że nie doszło do istotnego zagrożenia prywatności, a błędy wynikały z interpretacji przepisów i mechanizmów systemowych. UODO jednak nie przyjął tej argumentacji.
DPD ukarane za złamanie zasad RODO
Firma kurierska DPD Polska została ukarana łączną karą w wysokości 11 206 800 zł przez prezesa Urzędu Ochrony Danych Osobowych (UODO).
Wysoka grzywna wynika z poważnego naruszenia przepisów RODO, które dotyczyły sposobu przetwarzania danych osobowych klientów oraz organizacji systemu ich ochrony.
Jest to jedna z najwyższych kar administracyjnych nałożonych w Polsce za naruszenia przepisów o ochronie danych osobowych w sektorze usług konsumenckich.
Decyzja UODO obejmuje dwie odrębne kary:
- 6 251 000 zł za brak zawarcia umów powierzenia przetwarzania danych osobowych z podmiotami trzecimi,
- 5 209 800 zł za niewdrożenie odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych.
Jednym z kluczowych zarzutów wobec DPD Polska było korzystanie z usług podwykonawców w postaci zewnętrznych przewoźników transportowych, którzy realizowali część operacji logistycznych, gdzie zabrakło zawarcia z nimi wymaganych umów dot. powierzenia przetwarzania danych osobowych.
Jak ustalił UODO, podwykonawcy mieli dostęp do danych osobowych nadawców i odbiorców przesyłek, m.in. poprzez etykiety adresowe umieszczone na paczkach podczas ich załadunku i rozładunku.
Zdaniem organu nadzorczego taki dostęp stanowił o przetwarzaniu danych w rozumieniu rozporządzenia RODO i wymagał formalnego uregulowania relacji prawnej.
DPD argumentowało zaś, że zewnętrzni przewoźnicy wykonywali wyłącznie czynności transportowe, a nie przetwarzali danych osobowych. UODO nie zgodził się jednak z tą interpretacją, wskazując, że już sam dostęp do danych w trakcie realizacji usługi oznacza ich przetwarzanie.
Kolejna kwestia dot. naruszeń miała się sprowadzać do organizacji systemu bezpieczeństwa danych wewnątrz samej spółki. UODO zakwestionował m.in. sposób nadawania upoważnień do przetwarzania danych osobowych.
Z ustaleń regulatora wynika, że upoważnienia były generowane automatycznie po ukończeniu szkolenia, ale nie spełniały wymogów formalnych, takich jak jednoznaczne wskazanie zakresu uprawnień czy potwierdzenie nadania przez administratora danych.
UODO stwierdziło, że DPD nie wykazało również, że wdrożyło wystarczające środki organizacyjne, które zapewniałyby, że dane są przetwarzane wyłącznie przez osoby do tego uprawnione i tylko w niezbędnym zakresie.
Firma się broni
W toku postępowania DPD Polska zasłaniała się twierdzeniami, że nie doszło do masowego wycieku danych i nie stwierdzono realnej szkody po stronie klientów, a stosowane rozwiązania miały charakter wyłącznie operacyjny i organizacyjny.
Prezes UODO odrzucił tę argumentację, podkreślając, że RODO nie wymaga wystąpienia szkody ani faktycznego wycieku danych, aby doszło do naruszenia przepisów. Wystarczające jest stworzenie sytuacji, w której dane osobowe nie są odpowiednio chronione lub przetwarzane zgodnie z prawem.
Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->
Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->
