Prezes Urzędu Ochrony Danych Osobowych (UODO) zakończył postępowanie administracyjne wobec DPD Polska sp. z o.o., nakładając na spółkę dwie administracyjne kary pieniężne o łącznej wysokości ponad 11 mln zł. Sprawa dotyczyła sposobu organizacji procesu doręczania przesyłek kurierskich, w szczególności współpracy z zewnętrznymi przewoźnikami obsługującymi transport między oddziałami oraz wewnętrznych zasad dopuszczania pracowników do przetwarzania danych. Kluczowe jest to, że organ nie oceniał tu pojedynczego incydentu „wycieku”, lecz systemowe uchybienia w modelu przetwarzania danych: brak wymaganych umów powierzenia z podmiotami, które faktycznie miały dostęp do danych, oraz brak skutecznych, prawidłowych upoważnień do przetwarzania danych po stronie osób działających w organizacji.
Spis treści
Zakres kontroli i czego dotyczyło postępowanie
Decyzja została poprzedzona kontrolą w siedzibie spółki. Zakres czynności obejmował przetwarzanie danych osobowych w związku ze świadczeniem usług kurierskich, a więc w obszarze, w którym dane są przetwarzane masowo, powtarzalnie i w sposób rozproszony (oddziały, sortownie, kurierzy, przewoźnicy).
W toku postępowania ustalono, że w ramach procesu doręczania przesyłek administrator przetwarzał m.in. imię i nazwisko, adresy (nadania, doręczenia, przekierowania), e-mail, numer telefonu, numer przesyłki, nazwę firmy, a w określonych usługach także numer rachunku bankowego (np. pobranie) oraz podpis nadawcy i adresata. To zestaw danych, który – zwłaszcza w połączeniu – pozwala na precyzyjną identyfikację osoby i jej aktywności (np. miejsce doręczeń, schemat zakupów, powiązania biznesowe).
Pierwsze naruszenie: przewoźnicy zewnętrzni bez umów powierzenia
Kim byli przewoźnicy LNH i dlaczego w ogóle pojawił się temat powierzenia
UODO ustalił, że między oddziałami spółki przesyłki dostarczali zewnętrzni przewoźnicy (określani jako przewoźnicy LNH). W praktyce oznacza to, że część operacji transportowych była realizowana poza strukturą administratora, przy udziale podmiotów trzecich.
Spółka nie zawarła z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych osobowych, argumentując, że przedmiotem umów była wyłącznie usługa przewozu, która – w jej ocenie – nie wiązała się z przetwarzaniem danych przez przewoźników. Prezes UODO nie podzielił tego stanowiska i uznał, że brak umów powierzenia stanowi naruszenie art. 28 ust. 3 RODO.
Dlaczego „sam przewóz” został uznany za sytuację wymagającą umowy z art. 28 RODO
W uzasadnieniu decyzji organ wskazał na konkretne elementy współpracy, które przesądzały o udziale przewoźników w operacjach na danych. Zgodnie z ustaleniami, przewoźnicy zewnętrzni uczestniczyli w załadunku i wyładunku przesyłek, a więc mieli dostęp do etykiet adresowych zawierających dane osobowe. Ponadto przesyłki były transportowane także pojazdami, które nie należały do spółki ani nie były jej udostępnione na innej podstawie prawnej; dysponentami tych pojazdów byli zewnętrzni przewoźnicy.
W konsekwencji organ przyjął, że nie chodziło o relację czysto techniczną, „bez dotykania danych”, lecz o udział podmiotów trzecich w procesie, w którym dane były widoczne i dostępne w ramach wykonywania usługi.
Wysokość kary za brak umów powierzenia
Za naruszenie polegające na niezawarciu umów powierzenia przetwarzania danych osobowych Prezes UODO nałożył na administratora karę w wysokości 6,251 mln zł.
Drugie naruszenie: niewłaściwe upoważnienia i brak skutecznych środków organizacyjnych
Dlaczego upoważnienia są wymogiem rozliczalności
W decyzji wskazano, że administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych osobowych, mimo że sposób postępowania w tym zakresie był opisany w obowiązującej w spółce polityce ochrony danych. UODO powiązał ten problem z naruszeniami art. 29 RODO oraz art. 32 ust. 4 RODO, czyli obowiązku zapewnienia, aby osoby działające z upoważnienia administratora przetwarzały dane wyłącznie na polecenie administratora, a także zorganizowania procesu w sposób, który daje się wykazać i skontrolować.
W praktyce upoważnienie to narzędzie, którym administrator pokazuje, że kontroluje: kto ma dostęp do danych, w jakim zakresie, na jakiej podstawie i od kiedy. W świecie dużych procesów operacyjnych (logistyka, call center, sortownie) to jeden z podstawowych dowodów na spełnianie zasady poufności i rozliczalności.
„Automatyczne upoważnienie po teście” - dlaczego UODO uznał je za nieskuteczne
Spółka przyjęła rozwiązanie, w którym nowi pracownicy po odbyciu szkolenia na platformie e-learningowej i zaliczeniu testu otrzymywali automatycznie wygenerowany plik z treścią sugerującą, że jest to upoważnienie do przetwarzania danych. Problem polegał na tym, że dokument nie zawierał istotnych elementów, takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. UODO uznał, że taki automatycznie generowany plik „o niejasnej treści” nie może zostać zakwalifikowany jako upoważnienie do przetwarzania danych, ponieważ nie stanowi jednoznacznego oświadczenia woli administratora w tym zakresie.
Organ podkreślił również, że nieprawidłowość miała charakter organizacyjny: spółka nie wdrożyła w praktyce postanowień własnej polityki ochrony danych dotyczących udzielania upoważnień, do wdrożenia której – ze względu na skalę przetwarzania – była zobowiązana na podstawie art. 24 ust. 2 RODO.
Wysokość kary za niewdrożenie odpowiednich środków organizacyjnych
Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych (w tym w obszarze upoważnień), Prezes UODO nałożył karę w wysokości 5,209 mln zł.
Co w tej decyzji jest najważniejsze z perspektywy praktyki RODO
Dostęp do etykiety adresowej to też przetwarzanie – nawet jeśli nie „wprowadzasz danych do systemu”
Jednym z centralnych punktów sprawy jest prosta, ale często pomijana obserwacja: w procesach logistycznych dane osobowe funkcjonują nie tylko w systemach IT, lecz także na nośnikach fizycznych (etykiety, listy przewozowe, dokumenty). Jeżeli podmiot zewnętrzny ma dostęp do tych danych w ramach wykonywania usługi, to administrator nie może traktować tego jako sytuacji „poza RODO”. UODO wyraźnie powiązał takie okoliczności z koniecznością uporządkowania relacji z przewoźnikami w trybie art. 28 RODO.
Drugim mocnym wnioskiem jest to, że nawet dobrze zaprojektowane szkolenia nie zastępują formalnego i jednoznacznego mechanizmu dopuszczania osób do przetwarzania danych. UODO zakwestionował rozwiązanie, w którym system automatycznie generował dokument o charakterze „quasi-upoważnienia”, bez elementów pozwalających uznać go za upoważnienie udzielone przez administratora. W konsekwencji problem nie dotyczył jednego dokumentu, lecz całej konstrukcji organizacyjnej: kto i w jaki sposób podejmuje decyzję o przyznaniu dostępu do danych oraz jak administrator to wykazuje.
Podsumowanie
Sprawa DPD Polska pokazuje, że w organizacjach opartych na rozbudowanej logistyce i sieci podwykonawców ryzyko RODO najczęściej nie wynika z jednego „incydentu”, lecz z braków w konstrukcji procesu. Prezes UODO zakwestionował dwa fundamenty bezpieczeństwa danych: po pierwsze, nieuporządkowanie relacji z zewnętrznymi przewoźnikami, którzy w praktyce mieli dostęp do danych na etykietach i w obiegu przesyłek, mimo że nie zawarto z nimi wymaganych umów powierzenia; po drugie, nieskuteczny mechanizm dopuszczania osób do przetwarzania danych, oparty na automatycznie generowanych dokumentach, które nie spełniały standardu realnego upoważnienia.
Konsekwencją była ocena naruszeń jako poważnych i nałożenie dwóch kar administracyjnych o łącznej wysokości ponad 11 mln zł: 6,251 mln zł za brak umów powierzenia z przewoźnikami LNH oraz 5,209 mln zł za niewdrożenie właściwych środków organizacyjnych, w tym prawidłowego systemu upoważnień. Wnioski są jednoznaczne: przy dużej skali przetwarzania nie wystarcza ogólna polityka i założenie – administrator musi kontrolować dostęp do danych i umieć wykazać, że każdy uczestnik procesu przetwarza je wyłącznie na jego polecenie.
