UODO: ponad 11 mln zł kar dla DPD

Stan faktyczny‍

Prezes UODO wydał nieprawomocną decyzję w sprawie firmy kurierskiej. UODO ustalił, że spółka korzystała z zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych, mimo że byli oni podmiotami przetwarzającymi - bo uczestniczyli w załadunku i wyładunku przesyłek oraz wykonywali przewóz także własnymi środkami transportu, co dawało im dostęp do danych znajdujących się na etykietach. 

‍

UODO zakwestionował także wewnętrzny model nadawania upoważnień. Samo zaliczenie szkolenia i wygenerowanie przez system pliku z ogólną formułą nie zostało uznane za skuteczne upoważnienie do przetwarzania danych, ponieważ dokument nie zawierał istotnych elementów, w tym danych osoby upoważnionej i osoby udzielającej upoważnienia. 

‍

Prezes UODO nałożył dwie administracyjne kary pieniężne: 6 251 471 zł za brak umów powierzenia z przewoźnikami oraz 5 209 559 zł za brak właściwych środków organizacyjnych i prawidłowych upoważnień. Łącznie daje to ponad 11 mln zł. 

‍

Wnioski dla biznesu

• ‍Nie patrz na nazwę usługi, tylko na faktyczny dostęp do danych. Jeżeli zewnętrzna firma „tylko przewozi”, „tylko serwisuje”, „tylko skanuje”, „tylko archiwizuje” albo „tylko wspiera operacyjnie”, ale w praktyce ma dostęp do danych osobowych, to trzeba ocenić, czy nie działa jako podmiot przetwarzający. W tej sprawie UODO uznał, że sam udział w załadunku i rozładunku oraz faktyczne władztwo nad przesyłkami oznaczały przetwarzanie danych w imieniu administratora.‍
• Brak umowy powierzenia to nie jest drobny formalizm. UODO wprost powiązał brak takiej umowy nie tylko z naruszeniem art. 28 RODO, ale też z naruszeniem zasady zgodności z prawem i zasady rozliczalności. Innymi słowy: problemem nie jest tylko brak papieru, ale brak możliwości wykazania, że dane są przetwarzane legalnie i pod kontrolą firmy.‍
• Szkolenie pracownika nie zastępuje upoważnienia. W tej sprawie spółka opierała się na automatycznie generowanym pliku po zaliczeniu testu. UODO uznał, że taki plik nie jest upoważnieniem, skoro nie zawierał istotnych elementów, w tym danych pracownika i osoby udzielającej upoważnienia. Dla przedsiębiorcy wniosek jest prosty: trzeba umieć wykazać, kto konkretnie, komu konkretnie i w jakim zakresie dał dostęp do danych.‍
• Wewnętrzna polityka musi działać w praktyce. Sama polityka ochrony danych nie chroni firmy, jeśli nie została rzeczywiście wdrożona. UODO uznał za naruszenie także to, że spółka nie wyznaczyła osoby uprawnionej do udzielania upoważnień, mimo że przewidywała to jej własna polityka.