Rekordowa kara dla firmy kurierskiej za naruszenie RODO

Dzisiaj znowu będzie o naruszeniach ochrony danych. Dlaczego? Dlatego, że rok 2026 r. zaczął się w tym temacie „z przytupem”: decyzją z 5 lutego 2026 r. Prezesa UODO nałożył na DPD Polska kary administracyjne o łącznej wartości ponad 11 mln zł. PUODO dopatrzył się 2 naruszeń:

1. BRAK ZAWARTYCH UMÓW O POWIERZENIE DANYCH DO PRZETWARZANIA Z ZEWNĘTRZNYMI PRZEWOŹNIKAMI

W uzasadnieniu swojej decyzji PUODO wskazuje:

DPD Polska korzystała z niektórych usług transportowych zewnętrznych przewoźników bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych. Spółka jako administrator danych osobowych, nie zapewniła również, żeby ich przetwarzanie odbywało się wyłącznie na polecenie administratora. Niewyznaczenie osoby uprawnionej do nadawania upoważnień do przetwarzania danych osobowych stanowiło naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności.

W toku postępowania wykazano, że w procesie doręczania przesyłek administrator przetwarzał następujące dane: imiona, nazwiska, adres poczty elektronicznej, numer telefonu, adresy (nadania, doręczenia, przekierowania przesyłki), numer konta bankowego (w przypadku usługi doręczenia za pobraniem), nazwę firmy, numer przesyłki oraz podpis własnoręczny nadawcy i adresata.

Między oddziałami spółki przesyłki dostarczali przewoźnicy zewnętrzni (tzw. przewoźnicy LNH). Administrator nie zawarł jednak z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych. Spółka argumentowała, że nie było to potrzebne, ponieważ przedmiotem umowy była czynność przewozu, która, zdaniem spółki, nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych. Prezes UODO nie podzielił poglądu spółki, uznając, że nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszyła ona art. 28 ust. 3 RODO.

Prezes UODO zauważył w uzasadnieniu decyzji, że wg postanowień zawartych z nimi przez spółkę umów, zewnętrzni przewoźnicy LNH obowiązani byli do uczestniczenia w załadunku i wyładunku przesyłek, mając tym samym dostęp do znajdujących się na nich etykiet adresowych z danymi osobowymi. Poza tym, przesyłki były transportowane także pojazdami, których spółka nie była właścicielem, ani do których używania nie miała innej podstawy prawnej. W takich przypadkach uprawnieni do dysponowania tymi pojazdami byli zewnętrzni przewoźnicy LNH.

O co tu chodzi?

Wydaje się dość oczywiste, że usługi kurierskie wiążą się z przetwarzaniem danych osobowych. Firmy kurierskie przetwarzają cały szereg danych osobowych zarówno nadawcy, jak i adresata. Jest to nierozerwalnie wpisane w usługę. Nie ma przy tym żadnych wątpliwości, że w tym wypadku przedsiębiorca świadczący usługi w zakresie doręczania przesyłek kurierskich (w rozumieniu art. 3 pkt 19 ustawy z dnia 23 listopada 2012 r. Prawo pocztowe), działający w związku ze zleceniem klienta, jest odrębnym od klienta administratorem danych osobowych w zakresie danych, jakie znajdują się na przesyłkach kurierskich. Co do tej relacji, problemu nie było.

Problem i rozbieżne opinie PUODO oraz DPD pojawiły się w stosunku do relacji, jaka zachodzi pomiędzy DPD a podwykonawcami – firmami kurierskimi, które dostarczały przesyłki między oddziałami spółki. I tu uważam, że decyzji PUODO nie można uznać za „oczywiście słuszną”.

Dlaczego?

Zgodnie z art. 28 RODO,  jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Z powyższego wynika, że należy powierzyć przetwarzanie danych podmiotowi, który ma na tych danych „pracować”. Innymi słowy, usługa, którą podmiot trzeci ma świadczyć dla administratora, musi niejako polegać na przetwarzaniu danych. „Sztandarowe” przykłady to usługi biura rachunkowego, czy też usługi hostingowe.

Wydaje się zatem, że PUODO uznał, że usługa polegająca na transportowaniu przysyłek, czyli przewiezieniu ich z punktu A do do punktu B, wiązała się z „pracą na danych”. Ale czy faktycznie? Jeśli do zadań przewoźnika nie należało dostarczenie przesyłki pod adres na niej wskazany, a jedynie przewiezienie jej pomiędzy oddziałami DPD, to w mojej ocenie – nie.

Idąc tokiem rozumowania PUODO, należałoby uznać, że sam potencjalny dostęp do danych (nawet w procesie niezwiązanym z ich przetwarzaniem) oznacza ich przetwarzanie w imieniu administratora. W takim wypadku, podobne wnioski można byłoby wyciągnąć wobec wielu innych usługodawców – od firm sprzątających, przez ekipy techniczne, aż po różnego rodzaju serwisy czy wykonawców prac w budynkach. W trakcie wykonywania swoich czynności mogą oni mieć dostęp danych osobowych, np. na dokumentach pozostawionych na biurkach. UODO stoi jednak na stanowisku (i słusznie), że w przypadku usług utrzymania czystości w pomieszczeniach biurowych, zawarcie umowy powierzenia danych do przetwarzania jest niewłaściwe, a administrator powierzający usługi sprzątania zewnętrznej firmie jest zobowiązany do zachowania środków wręcz uniemożliwiających przetwarzanie danych przez pracowników tej firmy (np. zasada czystego biurka).

Dlaczego zatem inaczej ma być w przypadku przewoźników? Jeśli przesyłki przewożone były w sposób, który umożliwiał incydentalny dostęp do danych (np. przewoźnik mógł dostrzec adres na poszczególnych paczkach), dlaczego zaleceniem organu nie było wdrożenie odpowiednich zabezpieczeń? Przykładowo – gdyby przesyłki pakowane były w płócienne worki, etykiety adresowe nie byłyby widoczne, a przewoźnik mimo wszystko mógłby wykonać swoją usługę, czyli przewieźć je z punktu A do punktu B. Zamiast tego, PUODO „zmusza” przewoźnika do przetwarzania danych (w roli procesora), pomimo, że nie jest to konieczne do wykonania usługi.

2. BRAK PRAWIDŁOWO NADANYCH UPOWAŻNIEŃ DO PRZETWARZANIA DANYCH OSOBOWYCH

Formułując zarzut nr 2 PUODO uznał, że:

Administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Zostało to usankcjonowane w treści obowiązującej w spółce polityce ochrony danych. W zamyśle spółki, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. Wobec powyższego, PUODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia do przetwarzania danych. Powyższe stanowiło z kolei naruszenie art. 32 ust. 4 i art. 29 RODO.

Prezes UODO stwierdził, że doszło do poważnego naruszenia przepisów RODO:

• Administrator danych powinien zadbać o to, żeby przetwarzanie danych odbywało się z jego upoważnienia i na jego wyłączne polecenie. Jedną z form wykazania, że tak jest w istocie, stanowi udzielenie stosownych upoważnień przez administratora. Samo odnotowanie zaliczenia testu z wiedzy o ochronie danych i automatyczne wygenerowanie z systemu teleinformatycznego elektronicznego pliku z ogólnikową formułką upoważnienia, takim upoważnieniem nie jest i nie można go bowiem poczytywać za oświadczenie woli administratora w tym przedmiocie.
• Nieprawidłowe postępowanie spółki jako administratora danych osobowych, przejawiało się również w niewdrożeniu postanowień polityki ochrony danych dotyczących udzielania upoważnień, do wdrożenia której spółka, z uwagi na skalę przetwarzania danych osobowych, była zobowiązana (taki obowiązek został przewidziany art. 24 ust. 2 RODO).

Czy słusznie?

Zgodnie z art. 29 RODO, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Powołany przepis potwierdza zatem istnienie obowiązku nadawania upoważnień do przetwarzania danych osobowych oraz wskazuje na konieczność zadbania o to, by dostęp do danych osobowych miały wyłącznie osoby, którym administrator lub podmiot przetwarzający nadali upoważnienie.

Upoważnienie powinno przyjmować postać odrębnego oświadczenia administratora lub podmiotu przetwarzającego, nie można domniemywać jego treści z umowy o pracę czy też zakresu obowiązków pracowniczych. Osoba upoważniona może działać wyłącznie na podstawie i w granicach polecenia wydawanego jedynie przez administratora. Jedynie w pewnych ściśle określonych przypadkach, upoważnienie powinno zostać nadane na piśmie. Być może ten obowiązek niedługo w ogóle zniknie – planowane zmiany przepisów, które popiera również PUODO. Jak czytamy w odpowiedzi Prezesa UODO udzielonej ministrowi nadzoru nad wdrażaniem polityki rządu, przewodniczącemu Komitetu Stałego Rady Ministrów Maciejowi Berkowi w sprawie dotyczącej planowanych zmian w przepisach ustawy Kodeks pracy, ustawy o badaniach klinicznych produktów leczniczych oraz ustawy o ochronie sygnalistów:

Prezes UODO zwraca równocześnie uwagę, że art. 29 rozporządzenia 2016/679 (RODO) nie wymaga sformalizowanej konstrukcji pisemnej upoważnienia, wydawanego przez administratorów jako warunku dopuszczenia osoby do przetwarzania danych osobowych. Forma wyznaczenia przez administratora dostępu do danych czy systemów, w których są one przetwarzane, nie została precyzyjnie określona w przepisach RODO. […] Pisemne upoważnienie nie jest bowiem środkiem wymaganym przez rozporządzenie o ochronie danych osobowych. Upoważnienia do przetwarzania danych stanowią formę zabezpieczenia m.in. praw podstawowych i interesów osoby, której dane dotyczą, ale to administrator, który rezygnuje z pisemnej formy upoważnienia w myśl zasady rozliczalności, powinien być w stanie wykazać, że upoważnienia zostały nadane i istnieje rzeczywista kontrola sprawowana przez osoby uprawnione nad danymi osobowymi.

Co DPD zrobiło źle?

Wydaje się, że padło ofiarą własnych regulacji wewnętrznych. Prezes UODO skupił się bowiem na tym, że administrator był obowiązany przestrzegać wewnętrznych uregulowań, w tym wyznaczyć osobę uprawnioną do udzielania upoważnień w przedmiocie przetwarzania danych. Spółka DPD Polska zaniechała tego: nie wyznaczyła odpowiedniej osoby, „a ponadto zastosowała środki, które w żaden sposób nie spełniały warunków udzielenia upoważnień” – automatyczne generowanie plików tekstowych w systemie teleinformatycznym, „niezawierających jakichkolwiek cech oświadczenia woli”, stanowiło naruszenie wewnętrznych procedur, a w konsekwencji także RODO.

Czy decyzja PUODO była słuszna?

Być może. Jednak czy faktycznie należało ograniczyć ocenę sprawy wyłącznie do formalnej analizy polityki ochrony danych osobowych i dokumentu upoważnienia, bez weryfikacji rzeczywistego sposobu organizacji procesu nadawania uprawnień do przetwarzania danych w spółce? Samo niestosowanie się przez administratora do swoich własnych procedur, nie musi przecież oznaczać naruszenia RODO. Wydaje się zatem, że Prezes UODO zapomniał, że ideą RODO jest odejście od formalizmu na rzecz praktycznego stosowania ochrony danych.

JAKI Z TEGO MORAŁ?

PUODO nakłada kary nie tylko za wycieki danych, ale także za błędy organizacyjne. I słusznie – w końcu, zgodnie z maksymą „lepiej zapobiegać niż leczyć”, mamy obowiązek poukładać procesy przetwarzania danych tak, aby były zgodne z RODO, a w tym oczywiście – aby dane były bezpieczne. Przemyślane i odpowiednio wdrożone procedury to podstawa. Nie wystarczą przy tym procedury, które istnieją tylko na papierze. Jednak w przypadku DPD, wydaje się, że Prezes UODO uznał wyższość „formy nad treścią”, z czym ciężko mi się zgodzić. A przynajmniej, że sprawę należało zbadać dogłębniej.