Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/23

Kraj:

Polska

Data wydania decyzji:

05.02.2026 r.

Podmiot kontrolowany:

DPD Polska sp. z o.o.

Wysokość kary (EUR):

2.682.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), f), art. 5 ust. 2, art. 24 ust. 1, 2, art. 29, art. 32 ust. 1, 4 RODO.

Niewystarczająca umowa powierzenia przetwarzania danych.

 

Przyczyna naruszenia

Firma kurierska DPD Polska sp. z o.o. zlecała przewóz przesyłek zewnętrznym przewoźnikom LNH, lecz nie zawarła z nimi wymaganych umów powierzenia przetwarzania danych. Przedsiębiorstwo błędnie uznało, że przewoźnicy wykonują wyłącznie usługę transportu i nie przetwarzają danych, pomimo że uczestniczyli w załadunku i wyładunku, mieli dostęp do etykiet zawierających dane osobowe oraz dysponowali pojazdami, do których spółka nie miała tytułu prawnego. Dodatkowo pracownikom firmy nie udzielano formalnych, imiennych upoważnień do przetwarzania danych, a automatycznie generowane „upoważnienia” nie zawierały nazwiska pracownika ani podpisu osoby upoważniającej.

 

Opis wydarzeń

  1. Wszczęcie i zakres kontroli: Prezes Urzędu Ochrony Danych Osobowych przeprowadził w 2025 r. czynności kontrolne w siedzibie spółki. Zakres kontroli obejmował cały proces doręczania przesyłek kurierskich, w tym sposób zabezpieczenia danych osobowych oraz procedury współpracy z podwykonawcami. W toku postępowania ustalono, że spółka przetwarzała szeroki zakres danych: imiona i nazwiska nadawców oraz adresatów, adresy e‑mail i numery telefonów, adresy nadania, doręczenia i przekierowania, numery kont bankowych (w przypadku doręczeń za pobraniem), nazwy firm, numery przesyłek oraz własnoręczne podpisy.
  2. Współpraca z przewoźnikami bez umów powierzenia: Między oddziałami spółki przesyłki dostarczali zewnętrzni przewoźnicy, tzw. przewoźnicy LNH. Zawarte z nimi umowy o świadczenie usług transportowych zobowiązywały przewoźników do udziału w załadunku i wyładunku przesyłek, co w praktyce oznaczało dostęp do etykiet adresowych z danymi osobowymi. Ponadto przewoźnicy korzystali z pojazdów, których spółka nie była właścicielem ani nie miała do nich innego tytułu prawnego. Mimo to spółka nie zawarła z nimi umów powierzenia przetwarzania danych, uznając mylnie, że sam transport nie wymaga przetwarzania danych osobowych. UODO uznał, że brak umów powierzenia naruszył art. 28 ust. 3 RODO i zasady przetwarzania zgodnego z prawem oraz rozliczalności.
  3. Automatyczne upoważnienia dla pracowników: Spółka nie wyznaczyła osoby odpowiedzialnej za nadawanie upoważnień i zakładała, że przystąpienie nowego pracownika do szkolenia on‑line kończy się automatycznie wygenerowaniem „upoważnienia” do przetwarzania danych. Upoważnienia te były jednak wirtualnymi plikami, nie wskazywały imienia i nazwiska pracownika ani nie były podpisane przez osobę udzielającą upoważnienia. Takie praktyki nie spełniają wymogów RODO, który zobowiązuje do zapewnienia, aby osoby działające z upoważnienia administratora przetwarzały dane wyłącznie na jego polecenie, oraz który nakazuje zapewnić poufność oraz integralność przetwarzania.
  4. Brak wdrożenia polityki ochrony danych: Chociaż spółka opracowała politykę ochrony danych, nie wdrożyła zapisanych w niej procedur dotyczących udzielania upoważnień. Brakowało kontroli nad tym, kto ma dostęp do danych i na jakiej podstawie. Wytyczne podkreślają, że administrator powinien korzystać tylko z procesorów dających gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych. W przypadku DPD Polska te zasady zostały pominięte.
  5. Decyzja i wysokość kar: Prezes UODO uznał te uchybienia za poważne naruszenie RODO i nałożył dwie kary administracyjne: 6,251 mln zł za niezawarcie umów powierzenia oraz 5,209 mln zł za niewdrożenie środków organizacyjnych i brak formalnych upoważnień. Łączna kara przekroczyła 11 mln zł, co wskazuje na wagę naruszeń oraz konieczność niezwłocznej korekty procedur przez spółkę.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zawieranie pisemnych umów powierzenia z podmiotami zewnętrznymi: Art. 28 ust. 3 RODO zobowiązuje administratora do zawarcia umowy z każdym podmiotem, który przetwarza dane w jego imieniu. Wytyczne podkreślają, że umowa musi być pisemna, zawierać konkretne informacje o zakresie, celu i środkach przetwarzania oraz poziomie bezpieczeństwa wymaganym dla danego typu danych. W praktyce oznacza to, że nawet jeśli firma zleca wyłącznie transport, musi zadbać o to, aby przewoźnik zobowiązał się do ochrony danych na etapie załadunku, przewozu i rozładunku.
  2. Weryfikacja gwarancji podwykonawców: Przed powierzeniem danych należy sprawdzić, czy podwykonawca posiada odpowiednią wiedzę techniczną, środki bezpieczeństwa oraz zasoby do ochrony danych. Upewnij się, że partner biznesowy rozumie swoje obowiązki i stosuje np. szyfrowanie, zabezpieczenia pojazdów, procedury kontroli dostępu oraz szkolenia dla swoich pracowników.
  3. Formalne upoważnienia dla pracowników: Osoby przetwarzające dane muszą otrzymać imienne, datowane i podpisane upoważnienie określające zakres czynności. Automatycznie generowane pliki bez podpisu i danych pracownika nie spełniają wymogów art. 29 RODO. Upoważnienia powinny być przechowywane w sposób umożliwiający administratorowi wykazanie, kto, kiedy i w jakim zakresie może przetwarzać dane.
  4. Wyznaczenie osoby odpowiedzialnej i kontrola procesu: Administrator powinien oficjalnie wyznaczyć osobę (lub osoby) uprawnioną do nadawania upoważnień i kontrolowania przestrzegania procedur. Dokumentowanie procesu upoważniania usprawnia rozliczalność i umożliwia audyt.
  5. Regularne szkolenia personelu: Same kursy e‑learningowe nie zastąpią formalnych upoważnień, ale stanowią ważny element budowy kultury ochrony danych. Szkolenia powinny obejmować m.in. rozróżnienie ról administratora i procesora, obowiązek zachowania poufności oraz procedury reagowania na incydenty. Każdy pracownik powinien rozumieć, że dostęp do etykiety z adresem jest przetwarzaniem danych.
  6. Aktualizacja i wdrożenie polityki ochrony danych: Administrator powinna regularnie przeglądać swoją politykę, dostosowując ją do zmian w przepisach oraz w procesach biznesowych. Postanowienia dokumentu muszą być faktycznie realizowane. W razie korzystania z automatycznych systemów (np. platform szkoleniowych) należy sprawdzić, czy pozwalają one na identyfikację osoby upoważniającej i upoważnionej.
  7. Prowadzenie ewidencji czynności przetwarzania i monitorowanie zgodności: Administrator powinien prowadzić rejestr czynności przetwarzania i korzystać z mechanizmów kontrolnych, takich jak wewnętrzne audyty. Dzięki temu można szybko wykryć niezgodności, np. brak umowy z nowym przewoźnikiem, i podjąć działania naprawcze.
  8. Analiza ryzyka i środki techniczne: W oparciu o analizę ryzyka należy dobrać środki techniczne (szyfrowanie, pseudonimizacja, zabezpieczenia transportu) i organizacyjne (instrukcje postępowania, plomby elektroniczne, monitorowanie) adekwatne do zakresu danych. Procesor powinien oferować „odpowiednie gwarancje” w tym zakresie.
  9. Współpraca z organem nadzorczym: W przypadku wszczęcia kontroli należy aktywnie współpracować z organem nadzorczym, udzielać wyjaśnień i okazywać dokumenty. Opóźnianie odpowiedzi lub unikanie odbioru korespondencji jest kolejnym naruszeniem, które może skutkować nałożeniem kary.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO