Kolosalna kara dla DPD Polska! Złamali RODO
Za stwierdzone naruszenia RODO prezes UODO wymierzył DPD Polska dwie osobne kary administracyjne
Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska administracyjną karę pieniężną o łącznej wartości przekraczającej aż 11 milionów złotych. Decyzja zapadła po przeprowadzeniu postępowania, w którym stwierdzono poważne naruszenia przepisów RODO. Według UODO, DPD nie dopełniło obowiązków w zakresie właściwego zabezpieczenia danych osobowych oraz nie zawarło wymaganych umów z zewnętrznymi przewoźnikami, którzy uczestniczyli w procesie doręczania przesyłek. Tym samym prywatne informacje tysięcy klientów mogły być przetwarzane niezgodnie z prawem.
Kara dla DPD za złamanie RODO
Z ustaleń Urzędu wynika, że DPD współpracowało z szeregiem przewoźników zewnętrznych bez formalnego podpisania umów powierzenia przetwarzania danych. Tego typu umowy stanowią obowiązkowy element zgodny z art. 28 ust. 3 RODO i określają, w jaki sposób podmiot zewnętrzny może przetwarzać dane osobowe w imieniu administratora. Spółka tłumaczyła, że nie było takiej konieczności, ponieważ kontrakty z przewoźnikami dotyczyły wyłącznie samego przewozu paczek, a nie działań na danych osobowych. UODO nie zgodził się jednak z tą interpretacją, wskazując, że osoby realizujące transport mają dostęp do etykiet z danymi nadawców i odbiorców, a więc w praktyce przetwarzają dane.
Zakres danych przetwarzanych w procesie doręczania przesyłek był bardzo szeroki. UODO wskazał, że obejmował między innymi imiona i nazwiska klientów, adresy e-mail i numery telefonów, adresy nadania, doręczenia i przekierowania, numery rachunków bankowych w przypadku przesyłek za pobraniem, nazwy firm, numery przesyłek, podpisy nadawców i adresatów. Tak rozległy zestaw informacji pozwala jednoznacznie zidentyfikować osobę, dlatego brak właściwych zabezpieczeń został potraktowany jako poważne naruszenie bezpieczeństwa danych osobowych. W ocenie organu, DPD nie zapewniło, aby przetwarzanie tych danych odbywało się wyłącznie na jego polecenie, co stanowi istotne naruszenie przepisów o ochronie prywatności.
Czytaj też: Gigantyczne kary dla Zalando i Temu! UOKiK wziął się za fikcyjne obniżki
Kolejnym punktem krytyki UODO były procedury nadawania upoważnień dla pracowników DPD. Nowo zatrudnione osoby otrzymywały upoważnienie automatycznie po ukończeniu szkolenia online, a system generował plik, który jednak nie spełniał wymogów formalnych. Dokumenty te nie zawierały podstawowych informacji, takich jak imię i nazwisko pracownika czy podpis osoby udzielającej upoważnienia. Tym samym nie można było uznać, że pracownik faktycznie posiadał ważne upoważnienie do przetwarzania danych osobowych. Prezes UODO zwrócił uwagę, że to na administratorze danych spoczywa obowiązek wdrożenia odpowiednich środków organizacyjnych i nadzorczych, które zagwarantują legalność przetwarzania danych przez personel.
Prezes UODO nałożył na firmę kurierską administracyjną karę pieniężną za naruszenia RODO.
Stwierdzono m․in․ brak umów powierzenia z zewnętrznymi przewoźnikami oraz nieprawidłowości w zakresie nadawania upoważnień do przetwarzania danych.https://t.co/LdKOsn4bHz
— Urząd Ochrony Danych Osobowych (@UODOgov_pl) February 23, 2026
Dwie kary, jeden problem
UODO wymierzył DPD Polska za stwierdzone naruszenia RODO dwie osobne kary administracyjne. Pierwsza, w wysokości 6,251 mln zł, dotyczyła braku umów powierzenia przetwarzania danych z podwykonawcami. Druga, wynosząca 5,209 mln zł, została nałożona za niewdrożenie odpowiednich środków organizacyjnych gwarantujących bezpieczeństwo danych. Łącznie sankcje przekroczyły 11,46 mln zł, co czyni je jedną z najwyższych kar w historii UODO wymierzonych polskiej firmie kurierskiej.
Czytaj też: Polska wyjątkowo szybko rośnie. Wyróżniamy się nie tylko na tle UE, ale również regionu
Firma DPD Polska w oficjalnym komunikacie przekazanym redakcji Business Insider poinformowała, że analizuje otrzymaną decyzję Urzędu. W swoim oświadczeniu podkreśliła, że zależy jej na pełnym wyjaśnieniu sprawy i wykazaniu, że stosowane przez nią rozwiązania oraz procedury spełniają normy bezpieczeństwa ochrony danych osobowych. Spółka nie przesądziła jeszcze, czy złoży odwołanie od decyzji, ale zaznaczyła, że współpracuje z UODO, by kompleksowo przeanalizować wszystkie aspekty sprawy.
