Ponad 11 mln zł kary dla DPD Polska za naruszenia RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska ponad 11 mln zł administracyjnej kary. Kontrola wykazała poważne nieprawidłowości w zakresie przetwarzania danych osobowych przy realizacji usług kurierskich.

Kontrola zakończona decyzją

Postępowanie zostało wszczęte z urzędu i poprzedzone kontrolą w siedzibie spółki. Sprawa dotyczyła zasad przetwarzania danych w procesie doręczania przesyłek. Organ nadzorczy uznał, że firma naruszyła przepisy RODO, w tym obowiązki administratora związane z organizacyjnym zabezpieczeniem danych.

W toku działalności przetwarzane były m.in. imiona i nazwiska, adresy, numery telefonów i e-maile oraz dane dotyczące przesyłek, a w przypadku usług pobraniowych także numery rachunków bankowych oraz podpisy nadawców i odbiorców.

Brak umów z zewnętrznymi przewoźnikami

Jedno z naruszeń dotyczyło współpracy z zewnętrznymi przewoźnikami między oddziałami spółki. Firma nie zawarła z nimi umów powierzenia przetwarzania danych osobowych, choć mieli oni dostęp do etykiet adresowych i transportowali przesyłki własnymi pojazdami. Organ uznał, że oznaczało to faktyczny dostęp do danych i naruszenie art. 28 ust. 3 RODO. Za to uchybienie nałożono karę 6,251 mln zł.

Nieprawidłowe upoważnienia pracowników

Drugie naruszenie dotyczyło systemu nadawania upoważnień do przetwarzania danych. Po szkoleniu online system automatycznie generował dokument, który nie zawierał kluczowych elementów, takich jak dane pracownika czy podpis osoby udzielającej upoważnienia. Według UODO nie spełniało to wymogów RODO i stanowiło brak odpowiednich środków organizacyjnych. W tym przypadku kara wyniosła 5,209 mln zł.

Łącznie sankcje przekroczyły 11 mln zł. Spółka zapowiedziała analizę decyzji i podkreśliła, że dąży do wykazania zgodności swoich procedur z przepisami o ochronie danych.