Prezes UODO zdecydował o nałożeniu na DPD Polska kary w łącznej wysokości ponad 11 mln zł za naruszenia przepisów RODO. Urząd Ochrony Danych Osobowych ustalił, że podczas doręczania przesyłek DPD korzystała z usług zewnętrznych przewoźników transportowych bez zawarcia z nimi obowiązkowych umów powierzenia przetwarzania danych osobowych.
Powód: brak umów i przetwarzanie danych
Według urzędników problemem było to, że DPD Polska przekazywała dane klientów (m.in. imiona i nazwiska, adres e-mail, numer telefonu, adresy doręczenia, numery przesyłek) przewoźnikom zewnętrznym, nie podpisując z nimi umów dotyczących przetwarzania danych osobowych, co jest wymogiem RODO.
Zobacz również
Spółka wyjaśniała, że umowy te nie były potrzebne, ponieważ kontrakt zawarty z przewoźnikami obejmował wyłącznie usługę transportu, która – jej zdaniem – nie dotyczyła przetwarzania danych osobowych. Prezes UODO uznał jednak, że to stanowisko jest niezgodne z przepisami.
„W DPD z należytą starannością podchodzimy do jakości i bezpieczeństwa naszych usług oraz ochrony danych powiązanych z tymi procesami. Obecnie analizujemy otrzymaną decyzję PUODO. Zależy nam na rzetelnym wyjaśnieniu sprawy i wykazaniu, że nasze rozwiązania i procedury spełniają wszystkie normy bezpieczeństwa ochrony danych osobowych” – czytamy w oficjalnym oświadczeniu.
Nie tylko pieniądze
Kara nałożona na DPD Polska to nie tylko wysokie zobowiązanie pieniężne (udostępnienie przewoźnikom LNH etykiet zawierających dane adresowe – 6 mln 251 tys. zł i brak istotnych elementów – m.in. imienia i nazwiska pracownika oraz podpisu osoby udzielającej upoważnienia, na dokumencie traktowanym jako upoważnienie do przetwarzania danych – 5 mln 209 tys. zł), ale też wyraźny sygnał dla całej branży e-commerce i firm kurierskich, że obowiązki związane z ochroną danych osobowych nie mogą być lekceważone. Dane klientów w branży logistycznej obejmują informacje wrażliwe, które – jeśli nie są właściwie chronione – mogą narazić użytkowników na ryzyko naruszeń prywatności.
Shein we Francji znowu pod ostrzałem: rząd w Paryżu chce zawieszenia platformy fast fashion
Działanie UODO podkreśla, że zasady RODO mają zastosowanie nie tylko w dużych korporacjach technologicznych, ale także w firmach logistycznych, które przetwarzają dane klientów przy realizacji usług. W praktyce oznacza to, że wszelkie podmioty zaangażowane w doręczanie paczek muszą zadbać o zgodne z prawem przekazywanie informacji pomiędzy partnerami.
Słuchaj podcastu NowyMarketing
Podsumowanie
Dla operatorów logistycznych i sklepów internetowych kara dla DPD to ostrzeżenie: każdy etap obsługi klienta – w tym doręczenia i współpraca z przewoźnikami – musi być zgodny z przepisami o ochronie danych. W przeciwnym razie firmy narażają się na wysokie sankcje i utratę zaufania klientów.
Po karze dla DPD sektor logistyczny, który odgrywa kluczową rolę w obsłudze e-commerce, musi szczególnie uważać na przepływ danych i zapewnienie pełnej zgodności z RODO. Przykład działań UODO względem DPD pokazuje bowiem, że konsekwencje dotyczące zarówno finansów, jak i reputacji, mogą być poważne.
Zdjęcie główne: AI
