Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował o nałożeniu dwóch kar na firmę kurierską, opiewających na łączną kwotę ponad 11 milionów złotych. Pierwsza kara wyniosła 6,251 miliona złotych i została nałożona za brak zawarcia umów powierzenia przetwarzania danych z zewnętrznymi przewoźnikami. Druga wyniosła 5,209 milionów złotych, a powodem jej nałożenia było niewdrożenie środków organizacyjnych służących zapewnieniu bezpieczeństwa danych. Nieprawidłowości te związane były z procesem nadawania upoważnień do przetwarzania danych osobowych.
Postępowanie wszczęte po kontroli
Co ciekawe, postępowanie w tej sprawie nie było konsekwencją ani skargi podmiotu danych, ani zgłoszonego do regulatora naruszenia ochrony danych osobowych. Zostało ono natomiast wszczęte przez organ nadzorczy z urzędu, po przeprowadzonej u administratora kontroli. Zakresem działań kontrolnych objęte były procesy przetwarzania danych osobowych, wiążące się z dostarczaniem przesyłek kurierskich. To właśnie w toku tej kontroli zostały stwierdzone przez Prezesa UODO nieprawidłowości, które następnie były powodem nałożenia kary na spółkę.
Brak umów powierzenia z przewoźnikami
Organ nadzorczy ustalił, że spółka korzystała z usług przewoźników zewnętrznych, którzy transportowali przesyłki między oddziałami firmy. Administrator nie zawarł z tymi podmiotami umów powierzenia przetwarzania danych osobowych. Uznać on miał bowiem, że czynności realizowane przez przewoźników zewnętrznych (tj. przewóz towarów), nie wiążą się z przetwarzaniem danych osobowych, w związku z czym zawarcie takich umów było w tym przypadku zbędne. Prezes UODO nie zgodził się jednak z tą argumentacją. Organ nadzorczy wskazał, że przewoźnicy brali udział w załadunku i wyładunku towarów, a w konsekwencji mieli dostęp do danych znajdujących się na etykietach adresowych. Naruszenie przepisów RODO polegające na braku zawarcia umów powierzenia z zewnętrznymi przewoźnikami zostało wycenione przez Prezesa UODO na ponad 6 milionów złotych kary.
Upoważnienia nie były wystarczające
W toku postępowania organ nadzorczy stwierdził również nieprawidłowości w zakresie środków organizacyjnych służących zabezpieczeniu danych. Bardziej precyzyjnie, nieprawidłowości te związane były z procesem nadawania pracownikom upoważnień do przetwarzania danych osobowych. Prezes UODO ustalił, że kwestia ta była uregulowana w polityce ochrony danych firmy. Problemem okazać się miała natomiast praktyczna realizacja postanowień polityki. W praktyce, nadawanie upoważnień odbywało się automatycznie. Pracownik, po przejściu szkolenia z ochrony danych osobowych oraz zaliczeniu testu sprawdzającego wiedzę, otrzymywał automatycznie wygenerowany plik. Treść tego dokumentu sugerowała, że jest to upoważnienie do przetwarzania danych osobowych. Pliki te nie zawierały jednak takich informacji jak imię i nazwisko upoważnionego czy podpis osoby udzielającej upoważnienia. W ocenie Prezesa UODO, nie można było więc zakwalifikować ich jako ważnych upoważnień do przetwarzania danych. Nieprawidłowości w tym zakresie wiązały się z karą w wysokości ponad 5 milionów złotych.
Coraz więcej kontroli i coraz wyższe kary
W ostatnim czasie zaobserwować można, że organ nadzorczy okazuje dużo zainteresowania systemowym naruszeniom przepisów, występującym w dużych podmiotach. Wskazują na to chociażby wysokie kary nałożone przez Prezesa UODO w 2025 r. Założyć można, że w 2026 r. regulator będzie kontynuować tę politykę, czego najlepszym dowodem jest kara nałożona na dużą firmę kurierską w tej sprawie.
Warto przypomnieć, że Prezes UODO może wszcząć postępowanie nie tylko wskutek skargi, czy naruszenia, ale również z urzędu, np. po przeprowadzonej kontroli u administratora. Tych natomiast z roku na rok przeprowadzanych jest coraz więcej. Co do zasady, regulator może przeprowadzić kontrolę u każdego administratora. Dodatkowo, co roku organ nadzorczy publikuje plan kontroli sektorowych. W tegorocznym planie znalazły się, m.in. internetowe platformy dostaw, podmioty zajmujące się marketingiem, czy też podmioty lecznicze.
Źródło:
https://uodo.gov.pl/pl/138/4075
