Urząd Ochrony Danych Osobowych nałożył na DPD Polska sp. z o.o. wysoką karę za naruszenie postanowień obowiązującej w spółce polityki ochrony danych i zasad poufności oraz rozliczalności.
UODO uważa, że DPD Polska sp. z o.o. naruszyła przepisy dotyczące przetwarzania danych osobowych
Urząd Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne, które miało na celu sprawdzić, jak DPD Polska sp. z o.o. przetwarza dane osobowe w związku ze świadczeniem usług w zakresie doręczania przesyłek kurierskich.
Kontrola wykazała, że procesie doręczania przesyłek administrator przetwarzał następujące dane:
- imiona,
- nazwiska,
- adres poczty elektronicznej,
- numer telefonu,
- adresy (nadania, doręczenia, przekierowania przesyłki),
- numer konta bankowego (w przypadku usługi doręczenia za pobraniem),
- nazwę firmy,
- numer przesyłki
- oraz podpis własnoręczny nadawcy i adresata.
Kontrolerzy zauważyli jednak, że między oddziałami przesyłki transportowali przewoźnicy zewnętrzni (tzw. przewoźnicy LNH) i DPD Polska sp. z o.o. nie zawarła z nimi wymaganych przez RODO umów powierzenia przetwarzania danych. Według firmy nie było to konieczne, gdyż przedmiotem umowy była czynność przewozu, która, zdaniem spółki, nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych nie zgodził się jednak z takim uzasadnieniem, ponieważ przewoźnicy LNH mieli dostęp do danych, znajdujących się na etykietach na przesyłkach, a ponadto były one transportowane pojazdami, nienależącymi do firmy. Według niego administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych.
Tymczasem DPD Polska sp. z o.o. udzielała upoważnienia nowym pracownikom po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. System generował je automatycznie, jednak – do czego ma zastrzeżenia Prezes UODO – nie zawierały one istotnych elementów, takich jak imię i nazwisko pracownika oraz podpisu osoby udzielającej upoważnienia.
W związku z tym UODO uważa, że nie można takiego dokumentu zakwalifikować jako upoważnienia do przetwarzania danych. Ponadto kontrola wykazała, że firma nie wdrożyła postanowień polityki ochrony danych dotyczących udzielania upoważnień, do czego była zobowiązana z uwagi na skalę przetwarzania danych.
Tutaj warto przypomnieć, że we wrześniu 2025 roku Allegro podpisało nową umowę z DPD, na mocy której usługą Allegro Delivery objęto również automaty paczkowe DPD.
UODO nałożył wysokie kary na DPD Polska sp. z o.o.
Urząd Ochrony Danych Osobowych informuje, że za naruszenie przepisów RODO, polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, PUODO nałożył karę na administratora w wysokości 6,251 miliona złotych.
Z kolei za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych, służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 miliona złotych.
Łącznie zatem DPD Polska sp. z o.o. musi zapłacić blisko 11,5 miliona złotych.
