Stan faktyczny
Postępowanie zostało wszczęte z urzędu po przeprowadzeniu przez Prezesa UODO czynności kontrolnych w spółce świadczącej usługi doręczania przesyłek kurierskich. Kontrola obejmowała sposób przetwarzania danych osobowych nadawców i adresatów przesyłek w związku z realizacją usług kurierskich, w szczególności w zakresie organizacji procesu transportu przesyłek oraz stosowanych środków organizacyjnych i technicznych służących ochronie danych.
W toku kontroli ustalono, że administrator przetwarzał dane osobowe klientów w systemach informatycznych oraz w formie papierowej na etykietach adresowych przesyłek. Zakres przetwarzanych danych obejmował m.in.: imię i nazwisko, adres poczty elektronicznej, numer telefonu, adres nadania i doręczenia przesyłki, numer rachunku bankowego w przypadku przesyłek za pobraniem, nazwę działalności gospodarczej, numer przesyłki oraz podpis nadawcy i adresata.
Jednocześnie ustalono, że spółka korzystała z usług zewnętrznych przewoźników wykonujących transport przesyłek pomiędzy oddziałami oraz od dużych klientów biznesowych do oddziałów operatora. W umowach zawartych z tymi podmiotami nie przewidziano jednak postanowień dotyczących powierzenia przetwarzania danych osobowych. Spółka argumentowała, że przewoźnicy wykonują wyłącznie czynności transportowe i nie mają dostępu do danych osobowych znajdujących się na przesyłkach.
Kontrola wykazała ponadto nieprawidłowości w systemie nadawania upoważnień do przetwarzania danych osobowych pracownikom. Spółka wdrożyła elektroniczną platformę szkoleniową, w ramach której nowo zatrudniony pracownik po odbyciu szkolenia z zakresu ochrony danych i zaliczeniu testu otrzymywał automatycznie wygenerowany plik z treścią mającą stanowić upoważnienie do przetwarzania danych. Dokument ten nie zawierał jednak danych identyfikujących osobę upoważnioną ani podpisu osoby udzielającej upoważnienia. Dodatkowo w spółce nie wyznaczono osoby uprawnionej do nadawania upoważnień do przetwarzania danych, mimo że taki obowiązek przewidywała obowiązująca polityka ochrony danych.
W toku postępowania spółka wskazała, że rozpoczęła działania naprawcze polegające na aneksowaniu umów z przewoźnikami w celu zawarcia umów powierzenia przetwarzania danych oraz na zmianie procedury nadawania upoważnień pracownikom.
Stan prawny i ocena organu
Prezes UODO uznał, że opisany sposób organizacji współpracy z przewoźnikami prowadził do naruszenia art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 Nr 119, s. 1; dalej: RODO). Przepis ten stanowi, że przetwarzanie danych przez podmiot przetwarzający powinno odbywać się na podstawie umowy lub innego instrumentu prawnego regulującego relację między administratorem a procesorem, określającego w szczególności przedmiot i cel przetwarzania oraz obowiązki i prawa administratora.
Organ wskazał, że z treści umów zawartych z przewoźnikami wynikało, iż wykonywali oni transport przesyłek przy użyciu własnych środków transportu oraz uczestniczyli w czynnościach załadunku i rozładunku. W ocenie Prezesa UODO oznaczało to, że mieli faktyczny dostęp do przesyłek, w tym do etykiet adresowych zawierających dane osobowe nadawców i adresatów, a w czasie transportu sprawowali nad nimi faktyczne władztwo.
W konsekwencji Organ uznał, że przewoźnicy – realizując transport w ramach procesu doręczania organizowanego przez spółkę – przetwarzali dane osobowe w jej imieniu, co najmniej w zakresie ich przechowywania oraz dostępu do danych znajdujących się na etykietach adresowych. Nie określali oni przy tym samodzielnie celów ani sposobów przetwarzania, lecz działali w ramach procesu organizowanego przez administratora, co uzasadniało zakwalifikowanie ich jako podmiotów przetwarzających w rozumieniu art. 4 pkt. 8 RODO.
Brak zawarcia umów powierzenia został uznany nie tylko za naruszenie art. 28 ust. 3 RODO, lecz także za naruszenie zasady zgodności z prawem (art. 5 ust. 1 lit. a RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO).
Drugie z naruszeń dotyczyło organizacji procesu nadawania upoważnień do przetwarzania danych osobowych. Prezes UODO uznał, że automatyczne generowanie plików z treścią upoważnienia w systemie szkoleniowym nie stanowiło prawidłowego polecenia administratora w rozumieniu art. 29 RODO. Dokumenty te nie pozwalały bowiem ustalić, kto udzielił upoważnienia oraz komu zostało ono udzielone.
Organ podkreślił, że administrator powinien wdrożyć środki pozwalające wykazać, że osoby mające dostęp do danych przetwarzają je wyłącznie na jego polecenie. W ocenie Prezesa UODO system stosowany w spółce nie zapewniał wymaganej rozliczalności, a ponadto spółka nie wdrożyła w pełni własnej polityki ochrony danych, ponieważ nie wyznaczyła osoby upoważnionej do nadawania upoważnień. Działania te zostały zakwalifikowane jako naruszenie art. 29 oraz art. 32 ust. 1 i 4 RODO, a także zasady poufności wynikającej z art. 5 ust. 1 lit. f RODO.
Prezes UODO uznał, że naruszenia te stanowiły dwa odrębne zachowania administratora, co pozwoliło na nałożenie dwóch oddzielnych administracyjnych kar pieniężnych.
Sankcja administracyjna
Za naruszenie polegające na braku zawarcia umów powierzenia przetwarzania danych osobowych z przewoźnikami Prezes UODO nałożył na spółkę karę w wysokości 6 251 471 zł. Drugie naruszenie, dotyczące niewdrożenia odpowiednich środków organizacyjnych zapewniających przetwarzanie danych wyłącznie na polecenie administratora, skutkowało nałożeniem kary w wysokości 5 209 559 zł.
Łączna wysokość sankcji przekroczyła 11 mln zł.
Decyzja Prezesa UODO zwraca uwagę na dwa praktyczne aspekty stosowania RODO w organizacjach przetwarzających dane na dużą skalę.
Po pierwsze, znaczenie ma prawidłowa kwalifikacja relacji z podmiotami współpracującymi przy realizacji usług. Organ wskazał, że w przypadku transportu przesyłek przewoźnicy mogą zostać uznani za podmioty przetwarzające, jeżeli w ramach wykonywania usług mają dostęp do danych osobowych znajdujących się na przesyłkach lub sprawują nad nimi faktyczną kontrolę w czasie transportu. W takiej sytuacji konieczne jest zawarcie umowy powierzenia przetwarzania danych, spełniającej wymagania art. 28 RODO.
Po drugie, decyzja podkreśla znaczenie właściwego dokumentowania poleceń administratora wobec osób przetwarzających dane w organizacji. Samo odbycie szkolenia z zakresu ochrony danych czy potwierdzenie zapoznania się z zasadami przetwarzania danych nie jest równoznaczne z udzieleniem upoważnienia do przetwarzania danych osobowych. Administrator powinien być w stanie wykazać, kto udzielił upoważnienia, komu zostało ono udzielone oraz jaki jest jego zakres.
Warto wskazać, że choć przepisy RODO nie określają szczegółowych wymogów formalnych dotyczących formy udzielenia upoważnienia, a ich celem jest przede wszystkim zapewnienie, aby osoby mające dostęp do danych przetwarzały je wyłącznie na polecenie administratora, stanowisko Prezesa UODO wskazujące na konieczność spełnienia określonych wymogów formalnych może budzić wątpliwości interpretacyjne. W tym kontekście pojęcie „osoby działającej z upoważnienia administratora”, o którym mowa w art. 29 RODO, bywa rozumiane szerzej, jako funkcjonalne podporządkowanie pracownika procesowi przetwarzania danych organizowanemu przez administratora, a nie wyłącznie jako dysponowanie formalnym oświadczeniem woli o udzieleniu upoważnienia.
Sprawa ta wskazuje, że w przypadku dużych podmiotów przetwarzających dane na szeroką skalę szczególne znaczenie ma zarówno prawidłowe uregulowanie relacji z podmiotami zewnętrznymi, jak i zapewnienie rozliczalnego systemu zarządzania dostępem do danych wewnątrz organizacji.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
