Logo Praktyczne Szkolenia
Kontakt
Logo Praktyczne Szkolenia
Kontakt
Logo Praktyczne Szkolenia
Kontakt
  • Olga Kochanowska
  • /
  • 2026-03-25
  • /
  • Aktualności

Upoważnienia musi nadawać człowiek a nie system, czy AI

Kwota 11 461 030 zł – taką karę nałożył Urząd Ochrony Danych Osobowych na spółkę z branży logistycznej – firmę kurierską DPD, uznając, po kontroli wszczętej z urzędu, że w ramach jej modelu operacyjnego doszło do dwóch odrębnych naruszeń RODO.

Wadliwy system upoważnień do przetwarzania danych osobowych

Pierwsze naruszenie przepisów RODO (art. 24 ust.1 i 2, art. 29 oraz art. 32 ust.1 i 4 RODO) dotyczyło wadliwego systemu upoważnień do przetwarzania danych osobowych i brak środków organizacyjnych. Spółka wdrożyła elektroniczną platformę szkoleniową. Po zaliczeniu testu z ochrony danych system automatycznie generował plik z treścią „upoważnienia”, zapisywał go na dysku pracownika. Brakowało: podpisu członka zarządu lub osoby umocowanej, formalnie wyznaczonej osoby do nadawania upoważnień, a także możliwości ustalenia, kto i komu nadał upoważnienie. Spółka traktowała fakt zaliczenia testu jako równoważne z udzieleniem upoważnienia.

Na zdjęciu widać osobę pracującą przy laptopie, na które nałożono graficzne symbole kłódek oraz napis GDPR. Fotografia symbolizuje ochronę danych osobowych, cyberbezpieczeństwo, zgodność z RODO oraz bezpieczeństwo informacji w firmie.

Błędy w upoważnieniach do danych według UODO

Prezes UODO w decyzji z 5 marca 2026 r. (DKN.5112.1.2023) wskazał, że:

  • upoważnienie musi być oświadczeniem woli administratora, powinno być podpisane nie może być generowane automatycznie „w reakcji” na działanie pracownika,
  • system nie zapewniał rozliczalności,
  • nie było możliwości przypisania aktu udzielenia upoważnienia konkretnej osobie uprawnionej (na upoważnieniach nie było imion i nazwisk),
  • spółka nie wdrożyła własnej polityki ochrony danych (brak wyznaczenia osoby nadającej upoważnienia).

Drugie naruszenie RODO dotyczyło przewoźników zewnętrznych

Drugie naruszenie przepisów RODO (art. 28 ust. 3 RODO) dotyczyło zlecenia transportu zewnętrznym podmiotom. Firma przy transporcie pomiędzy swoimi oddziałami przesyłek zawierających etykiety adresowe korzystała z usług zewnętrznych przewoźników, bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych.

Pozostałe w sekcji Aktualności

Wyrok TSUE – wyższe płace jako kryterium przetargowe
2026-05-13
Wyższe płace jako kryterium przetargowe: W wydanym w dniu 5 marca 2026 r. wyroku (C-210/24) Trybunał Sprawiedliwości Unii Europejskiej orzekł, [...]
Koniec obowiązku przekazywania PIT-ów pracownikom?
2026-05-12
Projekt ustawy o zmianie ustawy o podatku dochodowym od osób fizycznych oraz ustawy o podatku dochodowym od osób prawnych (nr [...]
Wezwanie do zawarcia umowy z PPK w formie cyfrowej
2026-05-11
Rządowy projekt ustawy o zmianie ustawy o pracowniczych planach kapitałowych oraz ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i [...]
 

Dołącz do subskrybentów

Newsletter

Chcesz otrzymywać od nas newsletter z najnowszymi informacjami?
Obowiązek informacyjny dla formularza kontaktowego
  1. Administrator danych Administrator danych osobowych: Praktyczne Szkolenia Prasołek & Sawicki Spółka jawna Adres: ul. Grzybowska 2/34 00-131 Warszawa
  2. Kontakt z Administratorem W kwestii związanej z ochroną danych osobowych możesz się skontaktować z Administratorem wysyłając wiadomość pod adres email: biuro@praktyczneszkolenia.com
  3. Cele i podstawy przetwarzania danych osobowych Pani/Pana dane osobowe przetwarzane będą w celu udzielenia odpowiedzi na zapytanie wysłane poprzez formularz kontaktowy. Podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit f RODO, gdzie prawnie uzasadnionym interesem jest udzielenie odpowiedzi na zapytanie. W przypadku gdy wyrazili Państwo dobrowolną zgodę na przesyłanie drogą elektroniczną informacji handlowych oraz ofert podstawą prawną przetwarzania jest art. 6 ust. 1 lit. a RODO. Nasze działania opieramy zgodnie z Ustawą z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną. Możecie Państwo w każdym momencie wycofać zgodę.
  4. Odbiorcy danych Odbiorcami Pani/Pana danych osobowych mogą być zewnętrzne podmioty powiązane z Administratorem, w tym w szczególności dostawcy odpowiedzialni za obsługę systemów informatycznych.
  5. Okres przechowywania Pani/Pana dane osobowe będą przechowywane przez okres niezbędny do udzielenia odpowiedzi na zapytanie przesłane za pomocą formularza kontaktowego. W przypadku gdy podstawą przetwarzania danych osobowych jest zgoda będziemy przetwarzać dane osobowe do momentu jej wycofania.
  6. Prawa przysługujące w związku z przetwarzaniem danych osobowych Przysługuje Pani/Panu prawo dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania.
  7. Prawo do wniesienia skargi do organu nadzorczego Przysługuje Pani/Panu prawo do wniesienia skargi do organu nadzorczego – UODO Stawki 2, Warszawa.
  8. Dobrowolność danych Podanie danych jest dobrowolne, ale niezbędne do udzielenia odpowiedzi na zapytanie.
  9. Profilowanie i zautomatyzowane podejmowanie decyzji Pani/Pana dane osobowe nie będą profilowane oraz nie będą przetwarzane w sposób zautomatyzowany.

Dziękujemy za zgłoszenie!

Skontaktujemy się z Tobą, aby ustalić szczegóły.

Zamknij