UODO ukarał DPD Polska. Kara ponad 11 mln zł

27.02.2026

Prees Urzędu Ochrony Danych osobowych nałożył na DPD Polska kary łącznej wysokości ponad 11 mln zł za naruszenia przepisów RODO związane z przetwarzaniem danych osobowych w procesie transportu i doręczenia przesyłek. Nieprawidłowości dotyczyły m.in. współpracy z zewnętrznymi przewoźnikami bez wymaganych umów powierzenia przetwarzania danych oraz braku skutecznych upowaznień dla pracowników?

Prezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska kary administracyjne o łącznej wysokości ponad 11 mln zł w związku z naruszeniami przepisów RODO dotyczącymi przetwarzania danych osobowych w procesie doręczania przesyłek. Postępowanie wykazało nieprawidłowości w relacjach z zewnętrznymi przewoźnikami oraz w zakresie nadawania upoważnień do przetwarzania danych. Decyzja Prezesa UODO zakończyła postępowanie administracyjne wszczęte z urzędu, poprzedzone kontrolą przeprowadzoną w siedzibie spółki. Kontrola objęła sposób przetwarzania danych osobowych w związku ze świadczeniem usług kurierskich, w tym dane takie jak imię i nazwisko, adres, numer telefonu, adres e-mail, numer konta bankowego w przypadku przesyłek pobraniowych, a także podpis nadawcy i odbiorcy.

Jednym z kluczowych naruszeń było korzystanie przez spółkę z usług zewnętrznych przewoźników liniowych (tzw. LNH) bez zawarcia z nimi umów powierzenia przetwarzania danych osobowych, wymaganych przez art. 28 ust. 3 RODO. Przewoźnicy ci uczestniczyli w załadunku, rozładunku i transporcie przesyłek, co oznaczało dostęp do danych osobowych znajdujących się na etykietach adresowych. Ponadto przesyłki były przewożone pojazdami należącymi do przewoźników zewnętrznych, do których spółka nie posiadała tytułu prawnego. DPD Polska argumentowała, że zawarte umowy dotyczyły wyłącznie usług transportowych i nie obejmowały przetwarzania danych osobowych. Prezes UODO nie podzielił tej interpretacji, wskazując, że już sam dostęp do danych osobowych w trakcie realizacji usług transportowych stanowi ich przetwarzanie w rozumieniu RODO, co wymaga zawarcia odpowiednich umów powierzenia.

Drugie naruszenie dotyczyło nieprawidłowego nadawania upoważnień do przetwarzania danych osobowych pracownikom. W spółce stosowano rozwiązanie polegające na automatycznym generowaniu dokumentów po ukończeniu szkolenia z zakresu ochrony danych. Dokumenty te nie zawierały jednak podstawowych elementów formalnych, takich jak imię i nazwisko pracownika czy podpis osoby udzielającej upoważnienia. Prezes UODO uznał, że takie dokumenty nie spełniają wymogów formalnych i nie mogą być uznane za skuteczne upoważnienia do przetwarzania danych. Organ nadzorczy wskazał również, że spółka nie wdrożyła w pełni własnej polityki ochrony danych, mimo że była do tego zobowiązana ze względu na skalę przetwarzania informacji. Brak właściwych procedur organizacyjnych i formalnych został uznany za naruszenie zasad bezpieczeństwa i rozliczalności określonych w RODO.

Za niezawarcie umów powierzenia przetwarzania danych osobowych z przewoźnikami zewnętrznymi nałożono karę w wysokości 6,251 mln zł. Za niewdrożenie odpowiednich środków organizacyjnych i brak skutecznych upoważnień do przetwarzania danych osobowych Prezes UODO nałożył dodatkową karę w wysokości 5,209 mln zł. W uzasadnieniu decyzji podkreślono, że administrator danych jest zobowiązany do zapewnienia, aby dane osobowe były przetwarzane wyłącznie na jego polecenie oraz przez podmioty posiadające odpowiednie upoważnienia. Sprawa ma istotne znaczenie dla branży transportowej i logistycznej, ponieważ potwierdza, że współpraca z zewnętrznymi przewoźnikami wymaga spełnienia obowiązków wynikających z przepisów o ochronie danych osobowych, jeżeli mają oni dostęp do danych zawartych w dokumentacji transportowej lub na przesyłkach.

źródło: www.etransport.pl