Президент Управления по защите персональных данных Польши (UODO) Мирослав Врублевский наложил на DPD Polska два административных штрафа, суммарно превышающие 11 млн zł. Повод – нарушения требований RODO (GDPR) при организации доставки курьерских отправлений и доступе к данным клиентов.
Сразу 2 штрафа для DPD
Согласно официальной информации UODO, общая сумма двух штрафов превышает 11 млн zł и складывается из двух частей:
- 6,251 млн zł;
- 5,209 млн zł.
Оба штрафа наложены в рамках одного дела, но за разные блоки нарушений.
Штраф 6,251 млн zł: подрядчики без договоров по RODO
По версии UODO, DPD Polska привлекала внешних перевозчиков для перевозки отправлений между подразделениями компании, но не заключала с ними договоры поручения обработки персональных данных, которые требуются RODO, когда подрядчик получает доступ к данным клиентов.
В решении указано, что такие перевозчики участвовали в погрузке и разгрузке и имели доступ к адресным этикеткам, на которых содержатся персональные данные.
Штраф 5,209 млн zł: проблемы с допусками сотрудников к данным
Вторая часть претензий касается внутренней организации обработки данных. UODO указал на неправильный порядок выдачи допусков к обработке персональных данных.
В сообщении отмечено, что в компании действовала политика, по которой допуск должен оформляться после обучения, но на практике система автоматически формировала файл с общей формулировкой без обязательных реквизитов. Среди недостающих элементов перечислены, в частности, имя и фамилия сотрудника и подпись лица, которое выдает допуск. Также UODO указал, что не было назначено конкретное уполномоченное лицо, ответственное за выдачу таких допусков.
Какие данные клиентов фигурируют в деле
UODO перечислил категории персональных данных, которые обрабатывались при доставке отправлений. В сообщении названы:
- имя и фамилия;
- адрес электронной почты и номер телефона;
- адреса отправки, доставки и перенаправления;
- название компании;
- номер отправления;
- номер банковского счета при услуге наложенного платежа;
- собственноручная подпись отправителя и получателя.
Данное правонарушение касается обязанностей компании и ее подрядчиков. Отдельных действий от получателей посылок оно не требует. Неправомочного использования персональных данных на сегодняшний день не выявлено.
