PONAD 11 MLN ZŁ KARY DLA DPD POLSKA ZA NARUSZENIE RODO – JAKICH BŁĘDÓW NIE WARTO POWTARZAĆ?

Ponad 11 milionów złotych – tyle wyniosła suma dwóch kar nałożonych przez Urząd Ochrony Danych Osobowych na DPD Polska za naruszenia przepisów RODO.

1. Pierwsza kara: brak umów powierzenia

W toku postępowania Prezes UODO ustalił, że firma kurierska przekazywała dane klientów – między innymi imiona, nazwiska, adresy e-mail, numery telefonów oraz adresy doręczenia – zewnętrznym przewoźnikom bez zawarcia umów powierzenia przetwarzania danych osobowych.

Zdaniem DPD usługi transportowe świadczone przez inne podmioty nie wiązały się z powierzeniem przetwarzania danych. Argumentacja ta nie przekonała organu nadzorczego. PUODO uznał, że w tej sytuacji zawarcie umów powierzenia było konieczne. W konsekwencji spółka została ukarana za naruszenie art. 28 ust. 3 RODO, który reguluje zasady powierzenia przetwarzania danych osobowych innemu podmiotowi.

2. Druga kara: wadliwe upoważnienia dla pracowników

Druga sankcja dotyczyła nieprawidłowego udzielania pracownikom upoważnień do przetwarzania danych osobowych.

Zgodnie z obowiązującą w spółce polityką ochrony danych, nowi pracownicy otrzymywali upoważnienia automatycznie. Po ukończeniu szkolenia online i zaliczeniu testu system informatyczny generował plik o treści sugerującej, że stanowi on upoważnienie do przetwarzania danych. Problem w tym, że dokument miał niejasną, ogólnikową treść i nie zawierał imienia i nazwiska pracownika ani podpisu osoby udzielającej upoważnienia.

Z decyzji UODO wynika, że automatycznie generowanego pliku o takiej konstrukcji nie można uznać za skuteczne upoważnienie do przetwarzania danych osobowych.

Jakie wnioski powinna wyciągnąć branża logistyczna i e-commerce z case’u DPD?

Upewnij się, że twoja firma ma odhaczone wszystkie checkboxy na liście RODO! Skontaktuj się z CK LEGAL – nasi eksperci pomogą ci przeanalizować stan compliance w twojej organizacji.