2 godzin temu
Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska karę rzędu ponad 11 milionów złotych za rażące naruszenia przepisów RODO. Z ustaleń kontrolerów wynika, iż dostęp do wrażliwych informacji o klientach mieli zewnętrzni przewoźnicy bez stosownych umów. Co więcej, wewnętrzne procedury bezpieczeństwa firmy były dziurawe.
Postępowanie prowadzone przez UODO ujawniło, iż DPD Polska jako administrator danych nie zapewniło odpowiednich ram prawnych i organizacyjnych do ochrony informacji o swoich klientach. W rezultacie skutkowało to nałożeniem dwóch wysokich kar administracyjnych za odrębne naruszenia europejskiego rozporządzenia.
Przewóz przesyłek a przetwarzanie danych przez podwykonawców DPD
Pierwszy obszar naruszeń, za który na spółkę nałożono karę w wysokości 6,251 mln zł, dotyczy współpracy z zewnętrznymi przewoźnikami operującymi między oddziałami firmy (tzw. przewoźnicy LNH). DPD Polska regularnie korzystała z ich usług. Jednak robiła to bez wcześniejszego zawarcia umów powierzenia przetwarzania danych osobowych. Przedsiębiorstwo argumentowało, iż przedmiotem umów cywilnoprawnych była wyłącznie usługa transportowa. W ocenie firmy nie wiązała się ona z procesem przetwarzania danych osobowych.
Urząd Ochrony Danych Osobowych całkowicie odrzucił tę interpretację. Kontrolerzy wykazali, iż zewnętrzni kierowcy brali aktywny udział w załadunku i rozładunku przesyłek. Tym samym mieli fizyczny i nieograniczony dostęp do etykiet adresowych. Zakres udostępnianych w ten sposób informacji był bardzo szeroki. Obejmował imiona, nazwiska, adresy poczty elektronicznej, numery telefonów, dokładne adresy nadania, doręczenia i przekierowania. W przypadku przesyłek za pobraniem podwykonawcy mieli również dostęp do numerów kont bankowych. Ponadto proces doręczenia wiązał się z przetwarzaniem własnoręcznych podpisów nadawców i adresatów.
UODO zwrócił ponadto uwagę na fakt, iż paczki były transportowane pojazdami nienależącymi do DPD Polska. Spółka nie posiadała do nich żadnego tytułu prawnego, a wyłączne prawo do dysponowania flotą mieli zewnętrzni przewoźnicy. Brak zawarcia umów powierzenia w takich warunkach został zakwalifikowany jako bezpośrednie naruszenie art. 28 ust. 3 RODO.
Niewydolny system teleinformatyczny i wadliwe upoważnienia
Drugie naruszenie, ukarane grzywną w wysokości 5,209 mln zł, dotyczyło wewnętrznej polityki bezpieczeństwa i zarządzania dostępem do systemów informatycznych. DPD Polska nie wdrożyła odpowiednich środków organizacyjnych zapewniających bezpieczeństwo przetwarzania, co w ocenie UODO stanowiło złamanie art. 32 ust. 4, art. 29 oraz art. 24 ust. 2 RODO. Firma nie wyznaczyła konkretnej osoby uprawnionej do nadawania upoważnień, polegając w całości na wadliwie zaprojektowanym mechanizmie automatycznym.
Z ustaleń kontroli wynika, iż nowi pracownicy otrzymywali dostęp do danych bezpośrednio po ukończeniu szkolenia e-learningowego na wewnętrznej platformie edukacyjnej. Zaliczenie testu wiedzy inicjowało w systemie teleinformatycznym automatyczne wygenerowanie pliku elektronicznego. Dokument ten miał pełnić funkcję upoważnienia do przetwarzania danych, jednak brakowało w nim podstawowych elementów identyfikacyjnych. Plik zawierał jedynie ogólnikową formułę, nie uwzględniając imienia i nazwiska pracownika, którego dotyczył, ani podpisu osoby reprezentującej administratora.
Prezes UODO w uzasadnieniu decyzji stanowczo podkreślił, iż samo wygenerowanie ogólnikowego pliku z systemu po zaliczeniu testu nie stanowi oświadczenia woli administratora. Takie podejście całkowicie łamało obowiązującą w spółce politykę ochrony danych. Naruszało także fundamentalne zasady poufności i rozliczalności narzucone przez europejskie przepisy.
DPD korzysta ze współpracy z podwykonawcami. Źródło: DPDCo to oznacza dla klientów DPD?
Z perspektywy klientów korzystających z usług DPD ujawnione naruszenia oznaczają, iż ich dane osobowe krążyły w infrastrukturze logistycznej pozbawionej pełnego nadzoru prawnego. Chociaż decyzja UODO nie wskazuje na wystąpienie konkretnego incydentu bezpieczeństwa polegającego na wycieku bazy danych do sieci, to potwierdza istnienie poważnych luk w architekturze ochrony prywatności.
Brak umów powierzenia z przewoźnikami LNH sprawił, iż osoby trzecie mające kontakt z paczkami nie były formalnie związane rygorystycznymi zasadami ochrony danych narzucanymi przez RODO. Szczególne obawy budzi tu dostęp do danych finansowych przy usługach pobraniowych. Z kolei chaos w wewnętrznym systemie upoważnień oznacza, iż DPD Polska jako administrator nie posiadała pełnej i wiarygodnej wiedzy o tym, którzy konkretnie pracownicy mają dostęp do systemów przetwarzających informacje o nadawcach i odbiorcach. Zdaniem UODO, nałożona kara ma na celu wymuszenie na firmie natychmiastowego uszczelnienia procedur audytowych. Ponadto chodzi o wdrożenie mechanizmów, które zagwarantują, iż dane klientów będą chronione na każdym etapie świadczenia usługi kurierskiej.
Źródło tekstu: UODO / Zdjęcie otwierające: DPD
