W logistyce każdy błąd to przesyłka, która znika między sortownią a systemem. Tym razem problem nie pojawił się na rampie przeładunkowej ani na skanerach. Pojawił się w serwerowni danych osobowych, a rachunek za ten chaos wystawił Urząd Ochrony Danych Osobowych.
W poniedziałek prezes UODO nałożył na DPD Polska ponad 11 mln zł kar administracyjnych za naruszenie przepisów RODO. Decyzja dotyczy zarówno braku umów powierzenia przetwarzania danych z zewnętrznymi przewoźnikami, jak i wadliwego systemu nadawania upoważnień pracownikom. Sprawa odbija się szerokim echem w branży TSL, e-commerce i wśród firm przetwarzających dane klientów na masową skalę.
Kara UODO dla DPD Polska i brak umów powierzenia
Pierwsza część sankcji, 6,251 mln zł, dotyczy niezawarcia umów powierzenia przetwarzania danych osobowych z tzw. przewoźnikami LNH. Zewnętrzne firmy uczestniczyły w załadunku i wyładunku przesyłek, mając dostęp do etykiet z danymi: imionami, nazwiskami, adresami, numerami telefonów, a nawet numerami rachunków bankowych przy przesyłkach pobraniowych.
DPD argumentowało, że sama czynność przewozu nie oznacza przetwarzania danych. Prezes UODO uznał jednak, że dostęp do danych widniejących na przesyłkach stanowi realne przetwarzanie w rozumieniu art. 28 ust. 3 RODO. W compliance i ochronie danych osobowych taka luka to nie jest zwykły detal. To naruszenie zasad rozliczalności i bezpieczeństwa informacji.
Zobacz także
Upoważnienia i polityka ochrony danych pod lupą UODO
Druga kara, 5,209 mln zł, dotyczy organizacyjnego zaplecza bezpieczeństwa. W spółce funkcjonował system, w którym po szkoleniu online generowano automatyczny plik sugerujący udzielenie upoważnienia do przetwarzania danych. Problem w tym, że dokument nie zawierał kluczowych elementów, takich jak imię i nazwisko pracownika czy podpis osoby upoważniającej.
UODO wskazał, że taki mechanizm nie spełnia wymogów art. 29 i 32 RODO. Oznacza to brak realnej kontroli nad tym, kto i na jakiej podstawie przetwarza dane osobowe klientów. Dla firmy operującej milionami przesyłek rocznie to ryzyko systemowe, które wykracza poza pojedynczy błąd proceduralny.
RODO, dane osobowe i odpowiedzialność administratora w branży kurierskiej
Sprawa DPD Polska pokazuje, że w sektorze usług kurierskich i logistycznych dane osobowe są równie wrażliwym ładunkiem, jak wartościowa przesyłka ze szkłem w środku. Administrator danych musi nie tylko wdrożyć politykę ochrony danych, ale też egzekwować ją w relacjach z podwykonawcami i pracownikami.
Ponad 11 mln zł kary to sygnał dla całego rynku. Outsourcing w logistyce nie zwalnia z odpowiedzialności za RODO. Każda etykieta adresowa, każdy numer telefonu i każdy podpis to element łańcucha przetwarzania danych, który musi być zabezpieczony tak samo starannie, jak sam towar. W przeciwnym razie rachunek dociera szybciej niż kurier z paczką.
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!