Prezes UODO: kara ponad 11 mln zł za błędy przy nadawaniu upoważnień oraz powierzeniu przetwarzania danych

Prezes UODO wydał na początku lutego 2026 r. interesującą decyzję odnoszącą się do dwóch zagadnień. Pierwszym z nich była kwestia powierzenia przetwarzania danych znajdujących się na etykietach nadawczych przewoźnikom, którzy wykonywali dla Administratora zbiorczych transportów (samochodamia ciężarowymi) między lokalizacjami tego Administratora.

Drugim z nich była kwestia automatycznego generowania treści upoważnienia do przetwarzania danych osobowych, które nie zawierało, ani wskazania osoby, której takie upoważnienie się nadaje, ani osoby nadającej je w imieniu Administratora.

W zakresie umów powierzenia Prezes UODO tak argumentował karę ponad 6 251 000 zł:

Z postanowień umów o świadczenie transportu (…) wynika ponadto (…), że przewoźnicy (…) obowiązani byli na dzień kontroli do pomocy przy załadunku (wyładunku) przesyłek. Powyższe oznacza z kolei, że przewoźnicy (…) mieli nie tylko prawo, ale i wyraźnie zastrzeżony z umowie obowiązek wykonywania czynności wymagających bezpośredniego dostępu do przesyłek i znajdujących się na ich etykietach adresowych danych osobowych. Powyższe przeczy wyjaśnieniom złożonym w toku kontroli przez pracowników Spółki oraz wyjaśnieniom zawartym w pismach Spółki skierowanych do Prezesa UODO z 18 września oraz 11 października 2023 r., a także z 28 sierpnia 2025 r., według których przewoźnicy (…) nie mają w ogóle kontaktu z przesyłkami.

Ponadto, faktu przetwarzania przez przewoźników (…) powierzonych im przez Spółkę danych osobowych nie zmienia okoliczność, że naczepy pojazdów (…) po ich załadowaniu przesyłkami, są plombowane. Zarówno wobec faktu umownego zobowiązania przewoźników (…) do pomocy przy szeroko rozumianym załadunku, jak i wobec okoliczności przewożenia (a więc i przechowywania na czas realizacji transportu) przesyłek, także przy użyciu środków transportu, do których tytuł prawny przysługuje wyłącznie ww. przewoźnikom, nie ulega wątpliwości, że tzw. przewoźnicy (…) przetwarzają powierzone im przez Spółkę dane osobowe, mając do nich (i przesyłek) bezpośredni dostęp i mając faktyczne władztwo nad nimi w czasie przewozu przesyłek.

Prezes UODO nie może zatem uznać za miarodajne i wiarygodne wyjaśnienia, w których Spółka zdaje się twierdzić, że co prawda w zawartych przez nią umowach z przewoźnikami (…) literalnie nałożony był na nich obowiązek używania do przewozu własnych pojazdów oraz obowiązek pomocy przy załadunku przesyłek opatrzonych danymi osobowymi (a więc i bezpośredniego dostępu do danych), jednak Spółka faktycznie, rzekomo, nie egzekwowała ww. postanowień umownych. Powyższe tłumaczenie Spółki jest nieprzekonywające, a przede wszystkim sprzeczne z zasadami logicznego myślenia oraz wiedzą wynikającą z doświadczenia życiowego.

W zakresie upoważnień do przetwarzania danych padły takie argumenty:

Jak wynika z zebranego w toku kontroli materiału dowodowego, zaliczenie testu sprawdzającego dotyczącego wiedzy o ochronie danych w Spółce oraz poświadczenie w systemie informatycznym przez pracownika faktu zapoznania się z zasadami ochrony danych generuje automatyczne przesłanie na dysk twardy komputera konkretnego pracownika treści upoważnienia do przetwarzania danych. Treść klauzuli ww. upoważnienia zawiera ograniczenie zakresu przetwarzanych przez pracownika danych poprzez odwołanie się do zakresu jego obowiązków.

Treść ww. upoważnienia nie była jednak do dnia kontroli w żaden sposób, czy to elektronicznie czy to w formie pisemnej, podpisana przez członków zarządu albo inne upoważnione przez Spółkę osoby, nie było także możliwości wygenerowania z systemu Spółki dokumentu, z którego treści wynikałoby, kto podpisał (autoryzował) oświadczenie o nadaniu pracownikowi upoważnienia. Ponadto, treść ww. oświadczenia nie zawiera żadnych danych pracownika, któremu upoważnienie miało zostać nadane. Na dzień kontroli zarząd Spółki nie upoważnił żadnego pracownika do udzielania upoważnień do przetwarzania danych, pomimo zawarcia w (…) Polityki ochrony danych stosownego postanowienia zobowiązującego Spółkę do wyznaczenia takiej osoby (…).

Wobec powyższych ustaleń poczynionych w toku kontroli należy stwierdzić, że w Spółce nie są prawidłowo udzielane upoważnienia do przetwarzania danych w rozumieniu ww. przepisów prawa. Przez upoważnienie należy bowiem rozumieć oświadczenie woli, którego treść można przypisać konkretnej osobie fizycznej, która je złożyła, a więc która złożyła pod nim podpis, odręczny (w formie pisemnej) albo elektroniczny lub opatrzyła je innymi cechami pozwalającymi powiązać to oświadczenie z tą upoważniającą, konkretną osobą.

Dopuszczalnym byłoby rozwiązanie, w którym upoważnienia są generowane i doręczane w specjalnym, wewnętrznym systemie informatycznym Spółki, w którym określone oświadczenia woli byłyby przypisane konkretnej osobie fizycznej mającej unikalne uprawnienia w takim systemie, pozwalające wykluczyć możliwość, że określone oświadczenie zostało złożone przez osobę inną i nieuprawnioną, pomimo że nie zostało ono opatrzone podpisem elektronicznym w rozumieniu odrębnych przepisów prawa. Poza tym, w takim przypadku powinna być zapewniona możliwość weryfikacji daty złożenia oświadczenia, w tym także poprzez sprawdzenie unikalnych danych logowania uprawnionej osoby w ww. systemie służącym do obiegu dokumentacji. Tak więc, system informatyczny, w którym ww. oświadczenie zostałoby wygenerowane, musiałby cechować się pełną rozliczalnością, czego nie można powiedzieć o systemie Spółki, w zakresie udzielania upoważnień. W tej sytuacji należy podkreślić, że system teleinformatyczny Spółki nie wykazywał cech, o których wyżej mowa, przez co wskazane wyżej, potencjalnie możliwe do zastosowania rozwiązanie, nie zostało przez Spółkę wdrożone, zaś sam system w ww. zakresie nie był rozliczalny, tj. nie można było przy jego pomocy w sposób niebudzący wątpliwości ustalić, które osoby są adresatami oświadczeń, które w zamyśle Spółki miały pełnić rolę upoważnień do przetwarzania danych, oraz która osoba składa ww. oświadczenia i czy jest w związku z powyższym do tego uprawniona.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności