Przypominamy o kluczowym obowiązku wynikającym z art. 28 RODO: każda współpraca z podmiotem zewnętrznym, który przetwarza dane w imieniu SKO, wymaga podpisania umowy powierzenia danych!

Czemu o tym piszemy?
Przypomnienie wynika z najnowszych informacji ze świata:

To mogła być zwykła formalność, a skończyło się finansowym trzęsieniem ziemi. Prezes Urzędu Ochrony Danych Osobowych (UODO) właśnie wystawił DPD Polska sp. z o.o. rachunek, którego nikt w firmie nie chciałby zobaczyć: ponad 11 milionów złotych kary! Powód? Przekonanie, że transport paczek to „tylko wożenie pudełek”, a systemy informatyczne mogą zastąpić oświadczenie woli człowieka.

Kurier widzi więcej, niż myślisz

Głównym punktem sporu były umowy z zewnętrznymi przewoźnikami (tzw. LNH), którzy przewozili paczki między oddziałami DPD. Gigant kurierski twierdził, że nie musi zawierać z nimi umów powierzenia przetwarzania danych, bo… ich praca to tylko transport.

UODO było jednak innego zdania. Kontrola wykazała, że zewnętrzni kierowcy:

• brali udział w załadunku i wyładunku,

• mieli bezpośredni kontakt z etykietami adresowymi (imiona, nazwiska, numery telefonów, adresy),

• korzystali z własnych pojazdów, nad którymi DPD nie miało pełnej kontroli prawnej.

Werdykt? To klasyczne przetwarzanie danych. Brak umowy powierzenia w tym zakresie kosztował spółkę aż 6,251 mln zł.

Pułapka „automatycznego RODO”

To jednak nie koniec. DPD Polska wpadło w kolejną pułapkę – tym razem nadmiernej automatyzacji. Firma uznała, że jeśli pracownik zda test z ochrony danych na platformie e-learningowej, system „sam” wygeneruje mu upoważnienie.

Problem w tym, że te pliki nie zawierały nazwisk, podpisów ani jasnej treści. UODO uznało to za „dokument o niejasnej treści”, który nie ma żadnej mocy prawnej. Za ten brak realnego nadzoru i „papierową fikcję” doliczono kolejne 5,209 mln zł.

Dlaczego to lekcja dla każdego z nas?

Sprawa DPD Polska to jasny sygnał dla rynku: RODO nie dzieje się „samo”. Jeśli przekazujesz komukolwiek dane swoich klientów – nawet jeśli wydaje Ci się, że ten ktoś tylko „przesuwa pudełka” – musisz mieć to na papierze.

• Błąd 1: Brak analizy, czy Twój podwykonawca widzi dane (nawet na etykiecie!).

• Błąd 2: Wiara, że system IT zastąpi formalne upoważnienie i podpis.

Puenta jest brutalnie prosta: Możesz zainwestować miliony w nowoczesną logistykę i platformy edukacyjne, ale jeśli zapomnisz o solidnej umowie powierzenia danych, jedna kontrola UODO może zamienić Twój zysk w rekordową karę. Umowa powierzenia to nie biurokratyczny ciężar – to jedyna polisa ubezpieczeniowa, która realnie chroni administratora przed wielomilionową odpowiedzialnością

 

KIEDY UMOWA JEST NIEZBĘDNA?

Zawsze, gdy firma zewnętrzna ma dostęp do danych (nawet tylko wgląd) w ramach:

• Obsługi
  IT: serwis sprzętu, hosting, systemy EZD, poczta e-mail.
• Administracji:
  niszczenie dokumentów, obsługa kadrowo-płacowa, BHP.
• Wsparcia:
  serwis oprogramowania i wsparcie techniczne.

KIEDY nie jest wymagania?

 

Gdy przekazujemy dane do odrębnych administratorów, np.: do sądów, innych organów administracji, banków czy operatorów pocztowych.

 

DLACZEGO TO WAŻNE?

 

Brak umowy to nie tylko naruszenie prawa i ryzyko kar, ale przede wszystkim brak kontroli nad bezpieczeństwem naszych danych. Umowa gwarantuje, że podwykonawca odpowiada za wycieki i stosuje odpowiednie zabezpieczenia.

 

ZŁOTA ZASADA PRZED STARTEM WSPÓŁPRACY BRZMI:

 

1. Sprawdź,czy podmiot będzie miał dostęp do danych.
2. Upewnij się, że mamy podpisaną umowę powierzenia.
3. W razie wątpliwości – skonsultuj się z IOD przed przekazaniem jakichkolwiek informacji.

 

 

Inspektor Ochrony Danych