- WIADOMOŚCI
Ponad 11 mln kary dla DPD za naruszenie prawa
DPD Polska otrzymało kary administracyjne o łącznej wysokości ponad 11 mln zł za naruszenie przepisów RODO – poinformował Urząd Ochrony Danych Osobowych. Błędy firmy kurierskiej obejmowały m.in. korzystanie z usług zewnętrznych przewoźników bez umów powierzenia przetwarzania danych osobowych czy niewyzanczenie osoby, która mogłaby nadawać upoważnienia do przetwarzania danych.
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Branża kurierska jest jednym z sektorów gospodarki, w którym odpowiednie zarządzanie danymi osobowymi jest kwestią krytyczną – jak się okazuje, nie tylko w zakresie adresów nadawców oraz odbiorców przesyłek.
W związku ze świadczeniem tego rodzaju usług, Prezes UODO Mirosław Wróblewski zarządził przeprowadzenie kontroli w DPD Polska oraz wszczęcie postępowania administracyjnego.
Zewnętrzni przewoźnicy bez umowy dotyczących danych
Według opublikowanego w poniedziałek komunikatu Urzędu Ochrony Danych Osobowych, kontrola nie wykazała zgodności działania firmy z przepisami RODO.
DPD Polska powierzało dostarczanie przesyłek między oddziałami przewoźnikom zewnętrznym, jednak nie zawierano z nimi umów powierzenia przetwarzania danych.
Zdaniem spółki, współpraca z podwykonawcami dotyczyła czynności przewozu, co miało nie łączyć się z przetwarzaniem danych. Prezes UODO zwrócił jednak uwagę, że podczas załadunku i rozładunku przesyłek – do czego zobowiązywały umowy – przewoźnicy zewnętrzni mieli dostęp do etykiet adresowych z danymi osobowymi. Transport ładunku odbywał się pojazdami firm zewnętrznych, a nie DPD Polska.
Generowane potwierdzenie nie wystarczy
Istotnym elementem jest również konieczność udzielenia upoważnień do przetwarzania danych pracownikom. Firma kurierska posiadała odpowiedni zapis w tej kwestii w swojej polityce ochrony danych. Sądzono jednak, że po szkoleniu z zakresu ochrony danych, system informatyczny automatycznie udzielał upoważnień nowym pracownikom automatycznie.
Prezes UODO wskazał w swojej decyzji, że taki sposób udzielania upoważnień nie był prawidłowy oraz skuteczny.
„Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. (…) PUODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia” – czytamy w komunikacie Urzędu.
Dwie kary dla firmy kurierskiej
Według szefa instytucji, naruszenie przepisów miało poważny charakter i objęło trzy artykuły RODO. Za brak umowy przetwarzania danych, która powinna była zostać zawarta na podstawie art. 28. ust. 3, DPD Polska otrzymało karę w wysokości 6,251 mln zł.
Z kolei za niewdrożenie środków organizacyjnych w celu zapewnienia odpowiedniego bezpieczeństwa danych, co wynika z art. 29 oraz art. 32 ust. 4 RODO, Prezes UODO nałożył na firmę karę o wysokości 5,209 mln zł.
Łączna kwota kar nałożonych na DPD Polska przez szefa Urzędu Ochrony Danych Osobowych wyniosła 11,46 mln zł.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?