25/02/2026
Kolejna milionowa kara od UODO! Czyli czego uczy nas przypadek pewnej firmy kurierskiej?
Prezes UODO nałożył na jedną ze spółek kurierskich potężne administracyjne kary pieniężne, których łączna suma przekracza 11 milionów złotych! Powody były dwa: brak umów powierzenia z zewnętrznymi przewoźnikami (6,2 mln zł) oraz nieprawidłowy mechanizm nadawania upoważnień (5,2 mln zł).
Ta sprawa stanowi kolejne, ciekawe lekcje dla każdego administratora danych.
Lekcja 1 - każda współpraca z zewnętrzną firmą, która ma dostęp do danych, musi być sformalizowana. Umowa powierzenia to kluczowy dowód, że administrator kontroluje, co się dzieje z danymi. Kwestia dość oczywista, gdyby nie najciekawszy aspekt sprawy, tj. uznanie zewnętrznych firm transportowych za podmioty przetwarzające.
Spółka argumentowała, że przewoźnicy jedynie prowadzą pojazdy z zaplombowanymi naczepami i nie mają dostępu do treści przesyłek. Prezes UODO odrzucił tę argumentację, wskazując, że: przewoźnicy mają fizyczne i wyłączne władztwo nad przesyłkami (i danymi na etykietach) podczas transportu; zapisy umowne zobowiązywały ich do pomocy przy załadunku i wyładunku, a przetwarzanie (w tym przechowywanie) danych odbywa się w ich środkach transportu.
Wniosek dla administratorów? Analiza procesów powierzenia przetwarzania powinna zostać przeprowadzona ze zwróceniem uwagi na tego rodzaju „pułapki”. Nawet tam, gdzie na pierwszy rzut oka może wydawać się, iż podmiot nie ma dostępu do danych – możemy mieć do czynienia z powierzeniem przetwarzania w rozumieniu RODO.
Lekcja 2 i 3 - Drugim filarem kary był system automatycznego generowania upoważnień. Po zaliczeniu testu przez pracownika system przesyłał na jego dysk plik z upoważnieniem, który nie był podpisany przez nikogo z ramienia spółki, nie zawierał danych identyfikacyjnych pracownika ani osoby udzielającej upoważnienia. Organ uznał, że: upoważnienie to oświadczenie woli, które musi być przypisane do konkretnej osoby fizycznej (np. poprzez podpis lub jednoznaczny identyfikator systemowy); automatyzm stosowany w spółce doprowadził do sytuacji, w której pracownik de facto „sam sobie udzielał upoważnienia”, co jest prawnie niemożliwe; brak wyznaczenia osoby odpowiedzialnej za nadawanie upoważnień (wbrew własnej polityce ochrony danych) stanowił rażące zaniedbanie organizacyjne.
Wnioski dla administratorów?
✔️UODO wraca do formalizmu związanego z nadawaniem upoważnień.
Co prawda, zazwyczaj rekomendujemy naszym klientom sformalizowaną procedurę udzielania upoważnień, jednak nasz upór w tej kwestii wynika właśnie z daleko idącej ostrożności przed tego rodzaju interpretacją przepisów, z którą osobiście się nie zgadzamy.
Idealnie byłoby, gdyby wytyczne organu nie zmuszały do działań "na wypadek kontroli" tylko pozwoliły skupić się na rzeczywistej, systemowej ochronie danych;
✔️polityki ochrony danych nie mogą być martwym tworem! To już kolejna decyzja, w której wskazywane są rozbieżności między praktyką a przyjętymi procedurami. Takie działanie są niestety, jak strzał w kolano.
