Президент Управління із захисту персональних даних Польщі (UODO) Мирослав Врублевський наклав на DPD Polska два адміністративні штрафи, сумарно понад 11 млн zł. Причина – порушення вимог RODO (GDPR) при організації доставки кур’єрських відправлень і доступу до даних клієнтів.
Одразу 2 штрафи для DPD
Згідно з офіційною інформацією UODO, загальна сума двох штрафів перевищує 11 млн zł і складається з двох частин:
- 6,251 млн zł;
- 5,209 млн zł.
Обидва штрафи накладено в рамках однієї справи, але за різні блоки порушень.
Штраф 6,251 млн zł: підрядники без договорів по RODO
За версією UODO, DPD Polska залучала зовнішніх перевізників для перевезення вантажів між підрозділами компанії, але не укладала з ними договори доручення обробки персональних даних, які потрібні RODO, коли підрядник отримує доступ до даних клієнтів.
У рішення вказано, що такі перевізники брали участь у навантажуванні та розвантаженні і мали доступ до адресних етикеток, на яких містяться персональні дані.
Штраф 5,209 млн zł: проблеми з допусками співробітників до даних
Друга частина претензій стосується внутрішньої організації обробки даних. UODO вказав на неправильний порядок видачі допусків до обробки персональних даних.
У повідомленні зазначено, що в компанії діяла політика, згідно з якою допуск повинен оформлятися після навчання, але на практиці система автоматично формувала файл із загальним формулюванням без обов’язкових реквізитів. Серед відсутніх елементів перераховані, зокрема, ім’я та прізвище працівника і підпис особи, яка видає допуск. Також UODO вказав, що не було призначено конкретну уповноважену особу, відповідальну за видачу таких допусків.
Які дані клієнтів фігурують у справі
UODO перерахував категорії персональних даних, які оброблялися при доставці відправлень. У повідомленні названо:
- ім’я та прізвище;
- адреса електронної пошти та номер телефону;
- адреси відправки, доставки і перенаправлення;
- назва компанії;
- номер відправлення;
- номер банківського рахунку при послузі накладеного платежу;
- власноручний підпис відправника і одержувача.
Дане правопорушення стосується обов’язків компанії та її підрядників. Окремих дій від одержувачів посилок воно не вимагає. Неправомірного використання персональних даних на сьогоднішній день не виявлено.
