Jako eksperci RODO często powtarzamy naszym klientom: ochrona danych to przede wszystkim procesy i ich rzetelna dokumentacja. Najnowsza decyzja Prezesa Urzędu Ochrony Danych Osobowych dotycząca spółki DPD Polska jest bolesnym, ale niezwykle pouczającym potwierdzeniem tej tezy.
Łączna kara dla DPD Polska w wysokości ponad 11 mln zł to jasny sygnał dla rynku – „skróty” w obszarze umów powierzenia i upoważnień mogą kosztować fortunę.
Gdzie leżał problem? Dwa kluczowe uchybienia
Postępowanie PUODO, wszczęte po kontroli w siedzibie spółki, wykazało naruszenia w dwóch fundamentalnych obszarach: relacjach z podwykonawcami oraz wewnętrznym systemie upoważnień.
1. Transport to przetwarzanie: brak umów powierzenia (Art. 28 RODO)
Spółka korzystała z usług zewnętrznych przewoźników (tzw. LNH) do transportu przesyłek między oddziałami. Argumentacja DPD była ryzykowna: twierdzono, że sam przewóz paczek nie wiąże się z przetwarzaniem danych osobowych.
To klasyczny błąd interpretacyjny. Przewoźnicy brali udział w załadunku i rozładunku, mając bezpośredni dostęp do etykiet adresowych (imiona, nazwiska, adresy, numery telefonów). Co więcej, transport odbywał się pojazdami, nad którymi kontrolę sprawowali przewoźnicy, a nie administrator.
- Werdykt PUODO: Naruszenie art. 28 ust. 3 RODO.
- Kara: 6,251 mln zł.
2. „Automatyczne” upoważnienia, które nie istnieją (Art. 29 i 32 RODO)
Spółka wdrożyła system, w którym po zaliczeniu testu na platformie e-learningowej, system generował plik mający być upoważnieniem. Plik ten nie zawierał jednak imienia i nazwiska pracownika ani podpisu osoby uprawnionej do nadawania upoważnień.
Z punktu widzenia rozliczalności, taki dokument jest bezwartościowy. Upoważnienie musi być jasnym oświadczeniem woli administratora. Automatycznie wygenerowana „ogólnikowa formułka” nie spełnia wymogów bezpieczeństwa organizacyjnego. Spółka nie przestrzegała przy tym własnej polityki ochrony danych.
- Werdykt PUODO: Naruszenie art. 32 ust. 4, art. 29 oraz art. 24 ust. 2 RODO.
- Kara: 5,209 mln zł.
Lekcje dla Twojej firmy – checklisty eksperta ODO
Aby uniknąć losu DPD Polska, każdy Administrator Danych Osobowych powinien zweryfikować swoje procesy pod kątem następujących punktów:
W relacjach z kontrahentami:
- Zasada ograniczonego zaufania do definicji usługi: Jeśli Twój kontrahent ma choćby potencjalny wgląd w dane (nawet na etykietach czy listach przewozowych), musisz zawrzeć umowę powierzenia.
- Audyt łańcucha dostaw: Sprawdź, kto fizycznie operuje na danych. Czy są to Twoi pracownicy, czy personel zewnętrzny?
Wewnątrz organizacji:
- Realne upoważnienia: upewnij się, że każde upoważnienie zawiera dane identyfikacyjne pracownika i czytelny podpis (lub kwalifikowany podpis elektroniczny) osoby uprawnionej.
- Zgodność z własną Polityką: jeśli Twoja wewnętrzna procedura przewiduje konkretny sposób nadawania uprawnień, musisz go bezwzględnie przestrzegać. Martwe procedury to prosta droga do kary za brak rozliczalności.
Sprawa DPD pokazuje, że PUODO odchodzi od karania jedynie za wycieki danych (naruszenie poufności). Teraz pod lupą jest brak higieny procesowej. Ponad 11 milionów złotych kary za braki w dokumentacji to koszt, którego nie udźwignie wiele firm. RODO to nie tylko 'zgody marketingowe’, to przede wszystkim szczelny system powiązań prawnych z podmiotami, którym powierzamy paczkę z danymi naszych klientów.
Czy Twoja firma zawarła umowy powierzenia ze wszystkimi dostawcami logistycznymi? Chętnie pomożemy Ci to zweryfikować.