Każda sytuacja, w której dochodzi do przekazania danych osobowych innemu podmiotowi, rodzi określone obowiązki. Nie inaczej jest w przypadku współpracy z firmami kurierskimi, gdy dochodzi do przekazania kurierowi informacji o odbiorcy oraz nadawcy przesyłki. Co więcej, sama przesyłka również może zawierać informacje chronione przepisami RODO.
Co zatem dzieje się z danymi osobowymi przekazywanymi podczas współpracy z firmą kurierską? Kto jest ich administratorem? Kto odpowiada za ich bezpieczeństwo?
Dane nadawcy i odbiorcy
W przypadku podjęcia współpracy z firmą kurierską, gdzie przedmiotem zlecenia będzie klasyczna usługa doręczenia przesyłki do określonego odbiorcy, zarówno podmiot zlecający, jak i firma kurierska są odrębnymi administratorami danych odbiorców i nadawców przesyłek.
Oznacza to, że przepływ danych pomiędzy tymi podmiotami ma w tym zakresie charakter udostępnienia.
Podmiot zlecający udostępnia firmie kurierskiej dane odbiorców i nadawców przesyłek (imię, nazwisko, adres, czasem także numer telefonu czy email), w celu wykonania przez tę firmę zleconej jej usługi kurierskiej, tj. doręczenia przesyłki określonemu adresatowi, na określony adres.
Dane te firma kurierska przetwarza więc nie w imieniu zlecającego usługę, lecz we własnym, jako ich administrator. Tym celem przetwarzania danych jest prawidłowe wykonanie zlecenia.
Poza tym firma kurierska przetwarza dane nadawców i odbiorców w celu realizacji obowiązków wynikających z przepisów prawa regulujących działalność kurierską, tj. przede wszystkim przepisów Ustawy Prawo przewozowe, a w pewnym zakresie także przepisów Ustawy Prawo pocztowe – w odniesieniu do tzw. przesyłek kurierskich (w uproszczeniu są to rejestrowane listy oraz mniejsze paczki).
Przepisy te oraz wydane na ich podstawie akty wykonawcze szczegółowo określają:
- sposób realizacji usługi kurierskiej,
- weryfikację tożsamości odbiorcy,
- tryb postępowania reklamacyjnego,
- a także dane osobowe przetwarzane w tych procesach.
Wątpliwości co do powyższego nie mają zarówno Prezes UODO, sądy, jak i doktryna.
Wyrok WSA
Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21):
„(…) operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.”
Przedmiot korespondencji a RODO
Udostępnianie danych nadawców i odbiorców korespondencji wydaje się czymś na tyle naturalnym, że często nie rodzi dodatkowych pytań. Co jednak z danymi osobowymi znajdującymi się wewnątrz przesyłki?
Tu na pomoc przychodzą decyzja Prezesa UODO nakładająca karę pieniężną za niewypełnienie obowiązków administratora po zgubieniu przez firmę kurierską korespondencji oraz stanowisko wyrażone przez sąd w cytowanym już wyroku, oddalającym skargę Banku Millenium S.A. na tę decyzję.
Wyrok WSA
Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21):
„To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada.”
Idąc dalej, sąd dodatkowo podkreślił, że w zagubionej przesyłce znajdowały się dokumenty bankowe, a to przemawia za jednoznacznym stwierdzeniem, iż administratorem jest bank, który nadał przesyłkę i to on zobowiązany był do zrealizowania obowiązków ciążących na administratorze danych.
Zatem: Prezes UODO wydał decyzję na mocy której wyraźnie stwierdził, że za naruszenie ochrony danych osobowych znajdujących się w przesyłce odpowiada bank jako administrator tych danych. Stanowisko to zostało wyraźnie potwierdzone sąd.
Oczywiście nie oznacza to całkowitego wyłączenia odpowiedzialności firmy kurierskiej za zawartość przesyłki. Każdy z operatorów pocztowych odpowiada bowiem za bezpieczeństwo przesyłek w ramach należytego wykonywania usług oraz przestrzegania zasad i obowiązków określonych we wskazanej wcześniej Ustawie Prawo pocztowe. Firma kurierska zobowiązana jest m.in. do ochrony tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach. Zgodnie z art. 41 ust. 6 tej ustawy, ma ona obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej.
Usługi dodatkowe
W niektórych przypadkach, podmiot zlecający i firma kurierska mogą współpracować w ramach usług dodatkowych, w szczególności tzw. usługi ROD (“return of documents”). Usługa ta polega na:
- przyjęciu przez firmę kurierską zlecenia dostarczania dokumentów do podpisu (np. umów na usługi telekomunikacyjne),
- odebraniu dokumentów zwrotnych od adresatów,
- weryfikacji prawidłowości odbieranych dokumentów,
- a następnie dostarczeniu ich do siedziby podmiotu zlecającego.
W powyższym przypadku ma miejsce powierzenie przetwarzania danych osobowych, gdzie podmiot zlecający powierza firmie kurierskiej przetwarzanie danych ujawnionych w dokumentach. Zakres i cel takiego powierzenia wynika z postanowień konkretnej umowy o współpracy. W tym przypadku często określa to regulamin usług przewozowych (kurierskich).
Umowa powierzenia
Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.
Zobacz co otrzymasz w pakiecie.
Takie też stanowisko prezentuje polski organ nadzorczy. Już na podstawie uprzednio obowiązujących przepisów, GIODO (poprzednik Prezesa UODO), wskazywał na konieczność zawarcia umowy powierzenia z firmą kurierską w przypadkach, kiedy mamy do czynienia z usługami sięgającymi poza klasyczne dostarczenie przesyłki do adresata (decyzja z dnia 11 września 2011 r. DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP/).
Decyzja UODO i wyrok WSA
Stanowisko organu wydaje się jak najbardziej aktualne, mając na uwadze choćby decyzję Prezesa UODO w sprawie Cyfrowego Polsatu. Organ wszczął postępowanie w związku ze wzrostem liczby zgłoszeń zagubionych czy błędnie dostarczonych przesyłek oraz zbyt długim, zdaniem organu, czasem, jaki upływał między naruszeniem a przekazaniem klientom informacji o nim. Chodziło o przesyłki obejmujące umowy z klientami, które były zawierane na odległość (czyli klasyczna usługa ROD). Postępowanie zakończyło wydanie decyzji nakładającej karę w wysokości ponad 1 mln zł.
Podczas postępowania dla organu oczywiste było, że firma kurierska występuje tu w roli pomiotu przetwarzającego. Tym bardziej, że Cyfrowy Polsat dysponował odpowiednią umową powierzenia przetwarzania danych osobowych.
Innego zdania był jednak WSA w Warszawie, który uchylił nałożoną karę. Zdaniem sądu, Prezes UODO nie wyjaśnił przekonywująco, dlaczego tak a nie inaczej określił status firmy kurierskiej. W opinii WSA, przyjmując, że jest ona procesorem, organ kierował się głównie tym, że Cyfrowy Polsat zawarł z tą firmą umowę powierzenia, a to nie musi być przesądzające.
Wyrok WSA
Wyrok WSA w Warszawie z dnia 15 listopada 2021 r. (sygn. akt II SA/Wa 2465/21)
„Organ, w szczególności, nie dokonał w sposób pełny ustaleń co do roli i zakresu odpowiedzialności "podmiotu świadczącego usługi kurierskie’', w tym co do okoliczności pozwalających na "zakwalifikowanie" tego podmiotu jako administratora lub procesora w ramach współpracy z [...] oraz określenia zakresu zadań i obowiązków każdego z nich, w ramach zapewnienia bezpieczeństwa przetwarzania danych klientów [...] przez szybką identyfikację naruszeń.”
Zgodnie z wyrokiem, Prezes UODO musi dokonać analizy roli, w jakiej występuje firma kurierska. Rozstrzygnięcie sprawy na pewno będzie kluczowe dla podmiotów korzystających z usług typu ROD. Ciężko wyobrazić sobie jednak, że organ przedstawi odmienne, niż do tej pory, stanowisko w tej sprawie.
Podsumowanie
Realizacja współpracy z firmą kurierską bez przekazania jej jakichkolwiek danych osobowych jest oczywiście niemożliwa. Właściwe określenie charakteru tego przekazania, jak i roli w jakiej występują podmiot zlecający usługę oraz kurier, jest kluczowe dla późniejszego stwierdzenia, kto ponosi odpowiedzialność za przestrzeganie przepisów RODO.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
- Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21)
- Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 11 września 2011 r. DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP
- Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 kwietnia 2021 r. DKN.5130.3114.2020
- Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 14 października 2021 r. DKN.5131.16.2021
- Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2021 r. (sygn. akt II SA/Wa 2465/21)
Powiązane artykuły
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Kto i na jakich zasadach w firmie kurierskiej może przetwarzać tj. czytać i analizować dokument wysłany w ramach usługi ROD? Np czy kurier (podwykonawca B2B?) odbierający od nadawcy umowę o pracę powinien ją otrzymać w formie zabezbieczonej w zamkniętej kopercie? Czy kurier odbierający podpisany dokument może (musi?) sprawdzić dowód osobisty, w jakiej formie powinien odebrać podpisaną umowę np w zamkniętej kopercie? Kto może tę koperte otworzyć (czy to jest korespondencja?).
Wygląda na to, że firma kurierska ma pełne prawo do dostępu do danych wrażliwych zawartych nawet w umowach o pracę, umowach kredytowych itp. Ma także prawo do otwierania zamkniętych kopert.
Dzień dobry,
Konieczność zawarcia umowy powierzenia z firmą kurierską zajdzie tylko w przypadku, jeśli w ramach świadczenia przez tę firmę usług dochodzi do sytuacji, w których kurierzy mają dostęp do zawartości korespondencji, a przewożą np. dokumenty zawierające dane osobowe (przykładowo: umowy ubezpieczenia). Kurierzy powinni zostać upoważnieni przez pracodawcę do przetwarzania danych osobowych oraz zobowiązać się do zachowania poufności (niezależnie od przyjętej formy zatrudnienia). Z kolei w umowie powierzenia należy wyszczególnić do jakich danych osobowych firma kurierska może mieć dostęp w trakcie świadczenia usług oraz jakich kategorii osób te dane dotyczą – np. kontrahenci, pracownicy.
Pozdrawiamy,