UODO stwierdził, że spółka korzystała z usług zewnętrznych przewoźników transportowych, w tym kurierów realizujących przewóz paczek – bez zawarcia z nimi wymaganych umów powierzenia przetwarzania danych osobowych, mimo że w praktyce mieli oni dostęp do danych klientów.
Urząd podkreślił, że w trakcie obsługi przesyłek mogą być przetwarzane informacje takie jak imiona, nazwiska, adresy e-mail i numer telefonu nadawcy i adresata, adresy doręczenia, numery kont bankowych czy podpisy własnoręczne – dane, które wymagają szczególnej ochrony.
Naruszenie przepisów RODO przez firmę kurierską
Prezes UODO uznał, że DPD naruszyła m.in. art. 28 ust. 3 RODO, który nakłada obowiązek zawarcia umowy powierzenia przetwarzania danych z podmiotami przetwarzającymi dane w imieniu administratora.
Dodatkowo spółka została ukarana za niewdrożenie odpowiednich środków organizacyjnych zapewniających bezpieczeństwo danych oraz za brak prawidłowych upoważnień dla osób przetwarzających dane, co naruszało zasady poufności i rozliczalności.
Ponad 11 mln zł kary dla DPD Polska
Za pierwsze naruszenie UODO nałożył na DPD karę w wysokości ponad 6,25 mln zł, a za drugie – ponad 5,2 mln zł. To jedna z najwyższych kar nałożonych przez Urząd w tym roku.
W komunikacie podano, że decyzja prezesa UODO Mirosława Wróblewskiego kończy postępowanie administracyjne wszczęte z urzędu, które zostało poprzedzone przeprowadzeniem czynności kontrolnych w siedzibie spółki.
Czytaj też:
UOKiK nałożył potężną karę na Orange Polska. "Bezprawnie pobierała opłaty"