AnalizyArtykuł miesiącaPoradniki

Firmy kurierskie a RODO

18 sie 2022
2

Każda sytuacja, w której dochodzi do przekazania danych osobowych innemu podmiotowi, rodzi określone obowiązki. Nie inaczej jest w przypadku współpracy z firmami kurierskimi, gdy dochodzi do przekazania kurierowi informacji o odbiorcy oraz nadawcy przesyłki. Co więcej, sama przesyłka również może zawierać informacje chronione przepisami RODO.

Co zatem dzieje się z danymi osobowymi przekazywanymi podczas współpracy z firmą kurierską? Kto jest ich administratorem? Kto odpowiada za ich bezpieczeństwo?

Dane nadawcy i odbiorcy

W przypadku podjęcia współpracy z firmą kurierską, gdzie przedmiotem zlecenia będzie klasyczna usługa doręczenia przesyłki do określonego odbiorcy, zarówno podmiot zlecający, jak i firma kurierska są odrębnymi administratorami danych odbiorców i nadawców przesyłek.

Oznacza to, że przepływ danych pomiędzy tymi podmiotami ma w tym zakresie charakter udostępnienia.

Podmiot zlecający udostępnia firmie kurierskiej dane odbiorców i nadawców przesyłek (imię, nazwisko, adres, czasem także numer telefonu czy email), w celu wykonania przez tę firmę zleconej jej usługi kurierskiej, tj. doręczenia przesyłki określonemu adresatowi, na określony adres.

Dane te firma kurierska przetwarza więc nie w imieniu zlecającego usługę, lecz we własnym, jako ich administrator. Tym celem przetwarzania danych jest prawidłowe wykonanie zlecenia.

Poza tym firma kurierska przetwarza dane nadawców i odbiorców w celu realizacji obowiązków wynikających z przepisów prawa regulujących działalność kurierską, tj. przede wszystkim przepisów Ustawy Prawo przewozowe, a w pewnym zakresie także przepisów Ustawy Prawo pocztowe – w odniesieniu do tzw. przesyłek kurierskich (w uproszczeniu są to rejestrowane listy oraz mniejsze paczki).

Przepisy te oraz wydane na ich podstawie akty wykonawcze szczegółowo określają:

  • sposób realizacji usługi kurierskiej,
  • weryfikację tożsamości odbiorcy,
  • tryb postępowania reklamacyjnego,
  • a także dane osobowe przetwarzane w tych procesach.

Wątpliwości co do powyższego nie mają zarówno Prezes UODO, sądy, jak i doktryna.

Wyrok WSA

Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. (sygnakt II SA/Wa 4143/21):

„(…) operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.”

Przedmiot korespondencji a RODO

Udostępnianie danych nadawców i odbiorców korespondencji wydaje się czymś na tyle naturalnym, że często nie rodzi dodatkowych pytań. Co jednak z danymi osobowymi znajdującymi się wewnątrz przesyłki?

Tu na pomoc przychodzą decyzja Prezesa UODO nakładająca karę pieniężną za niewypełnienie obowiązków administratora po zgubieniu przez firmę kurierską korespondencji oraz stanowisko wyrażone przez sąd w cytowanym już wyroku, oddalającym skargę Banku Millenium S.A. na tę decyzję.

Wyrok WSA

Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. (sygnakt II SA/Wa 4143/21):

„To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada.”

Idąc dalej, sąd dodatkowo podkreślił, że w zagubionej przesyłce znajdowały się dokumenty bankowe, a to przemawia za jednoznacznym stwierdzeniem, iż administratorem jest bank, który nadał przesyłkę i to on zobowiązany był do zrealizowania obowiązków ciążących na administratorze danych.

Zatem: Prezes UODO wydał decyzję na mocy której wyraźnie stwierdził, że za naruszenie ochrony danych osobowych znajdujących się w przesyłce odpowiada bank jako administrator tych danych. Stanowisko to zostało wyraźnie potwierdzone sąd.

Oczywiście nie oznacza to całkowitego wyłączenia odpowiedzialności firmy kurierskiej za zawartość przesyłki. Każdy z operatorów pocztowych odpowiada bowiem za bezpieczeństwo przesyłek w ramach należytego wykonywania usług oraz przestrzegania zasad i obowiązków określonych we wskazanej wcześniej Ustawie Prawo pocztowe. Firma kurierska zobowiązana jest m.in. do ochrony tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach. Zgodnie z art. 41 ust. 6 tej ustawy, ma ona obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej.

Usługi dodatkowe

W niektórych przypadkach, podmiot zlecający i firma kurierska mogą współpracować w ramach usług dodatkowych, w szczególności tzw. usługi ROD (“return of documents”). Usługa ta polega na:

  • przyjęciu przez firmę kurierską zlecenia dostarczania dokumentów do podpisu (np. umów na usługi telekomunikacyjne),
  • odebraniu dokumentów zwrotnych od adresatów,
  • weryfikacji prawidłowości odbieranych dokumentów,
  • a następnie dostarczeniu ich do siedziby podmiotu zlecającego.

W powyższym przypadku ma miejsce powierzenie przetwarzania danych osobowych, gdzie podmiot zlecający  powierza firmie kurierskiej przetwarzanie danych ujawnionych w dokumentach. Zakres i cel takiego powierzenia wynika z postanowień konkretnej umowy o współpracy. W tym przypadku często określa to regulamin usług przewozowych (kurierskich).

umowa powierzenia przetwarzania danych

Umowa powierzenia

Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.

Zobacz co otrzymasz w pakiecie.

Sprawdź

Takie też stanowisko prezentuje polski organ nadzorczy. Już na podstawie uprzednio obowiązujących przepisów, GIODO (poprzednik Prezesa UODO), wskazywał na konieczność zawarcia umowy powierzenia z firmą kurierską w przypadkach, kiedy mamy do czynienia z usługami sięgającymi poza klasyczne dostarczenie przesyłki do adresata (decyzja z dnia 11 września 2011 r. DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP/).

Decyzja UODO i wyrok WSA

Stanowisko organu wydaje się jak najbardziej aktualne, mając na uwadze choćby decyzję Prezesa UODO w sprawie Cyfrowego Polsatu. Organ wszczął postępowanie w związku ze wzrostem liczby zgłoszeń zagubionych czy błędnie dostarczonych przesyłek oraz zbyt długim, zdaniem organu, czasem, jaki upływał między naruszeniem a przekazaniem klientom informacji o nim. Chodziło o przesyłki obejmujące umowy z klientami, które były zawierane na odległość (czyli klasyczna usługa ROD). Postępowanie zakończyło wydanie decyzji nakładającej karę w wysokości ponad 1 mln zł.

Podczas postępowania dla organu oczywiste było, że firma kurierska występuje tu w roli pomiotu przetwarzającego. Tym bardziej, że Cyfrowy Polsat dysponował odpowiednią umową powierzenia przetwarzania danych osobowych.

Innego zdania był jednak WSA w Warszawie, który uchylił nałożoną karę. Zdaniem sądu, Prezes UODO nie wyjaśnił przekonywująco, dlaczego tak a nie inaczej określił status firmy kurierskiej. W opinii WSA, przyjmując, że jest ona procesorem, organ kierował się głównie tym, że Cyfrowy Polsat zawarł z tą firmą umowę powierzenia, a to nie musi być przesądzające.

Wyrok WSA

Wyrok WSA w Warszawie z dnia 15 listopada 2021 r. (sygn. akt II SA/Wa 2465/21)

„Organ, w szczególności, nie dokonał w sposób pełny ustaleń co do roli i zakresu odpowiedzialności "podmiotu świadczącego usługi kurierskie’', w tym co do okoliczności pozwalających na "zakwalifikowanie" tego podmiotu jako administratora lub procesora w ramach współpracy z [...] oraz określenia zakresu zadań i obowiązków każdego z nich, w ramach zapewnienia bezpieczeństwa przetwarzania danych klientów [...] przez szybką identyfikację naruszeń.”

Zgodnie z wyrokiem, Prezes UODO musi dokonać analizy roli, w jakiej występuje firma kurierska. Rozstrzygnięcie sprawy na pewno będzie kluczowe dla podmiotów korzystających z usług typu ROD. Ciężko wyobrazić sobie jednak, że organ przedstawi odmienne, niż do tej pory, stanowisko w tej sprawie.

Podsumowanie

Realizacja współpracy z firmą kurierską bez przekazania jej jakichkolwiek danych osobowych jest oczywiście niemożliwa. Właściwe określenie charakteru tego przekazania, jak i roli w jakiej występują podmiot zlecający usługę oraz kurier, jest kluczowe dla późniejszego stwierdzenia, kto ponosi odpowiedzialność za przestrzeganie przepisów RODO.

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

, ,
Ekspert ds. ochrony danych osobowych Absolwentka Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ukończyła także studia podyplomowe Wykonywanie funkcji Administratora Bezpieczeństwa Informacji i Inspektora Ochrony Danych prowadzone w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Specjalizuje się w prawie ochrony danych osobowych. Zajmuje się przeprowadzaniem audytów zgodności procesów przetwarzania danych, tworzeniem oraz wdrażaniem systemów ochrony danych osobowych i bezpieczeństwa informacji oraz kompleksową obsługą podmiotów publicznych i prywatnych w tym zakresie. Brała udział w kilkudziesięciu projektach audytorskich realizowanych głównie dla podmiotów z sektora finansowego (m.in. windykacja, bankowość), branży produkcyjnej oraz oświaty. Swoje zainteresowania skupia wokół zagadnień związanych z przetwarzaniem danych osobowych przez grupy kapitałowe m.in. w zakresie przekazywania danych wewnątrz grup, w tym do państw trzecich. Współautorka bloga poświęconego tematyce ochrony danych osobowych (www.blog-daneosobowe.pl).

Related Posts

Ciekawostki
Zasady pracy zdalnej a RODO – poradnik
Nowości w prawie
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Nowości w prawie
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

2 Responses

  1. Ted
    Reply

    Kto i na jakich zasadach w firmie kurierskiej może przetwarzać tj. czytać i analizować dokument wysłany w ramach usługi ROD? Np czy kurier (podwykonawca B2B?) odbierający od nadawcy umowę o pracę powinien ją otrzymać w formie zabezbieczonej w zamkniętej kopercie? Czy kurier odbierający podpisany dokument może (musi?) sprawdzić dowód osobisty, w jakiej formie powinien odebrać podpisaną umowę np w zamkniętej kopercie? Kto może tę koperte otworzyć (czy to jest korespondencja?).
    Wygląda na to, że firma kurierska ma pełne prawo do dostępu do danych wrażliwych zawartych nawet w umowach o pracę, umowach kredytowych itp. Ma także prawo do otwierania zamkniętych kopert.

    1. Łukasz Zegarek
      Reply

      Dzień dobry,

      Konieczność zawarcia umowy powierzenia z firmą kurierską zajdzie tylko w przypadku, jeśli w ramach świadczenia przez tę firmę usług dochodzi do sytuacji, w których kurierzy mają dostęp do zawartości korespondencji, a przewożą np. dokumenty zawierające dane osobowe (przykładowo: umowy ubezpieczenia). Kurierzy powinni zostać upoważnieni przez pracodawcę do przetwarzania danych osobowych oraz zobowiązać się do zachowania poufności (niezależnie od przyjętej formy zatrudnienia). Z kolei w umowie powierzenia należy wyszczególnić do jakich danych osobowych firma kurierska może mieć dostęp w trakcie świadczenia usług oraz jakich kategorii osób te dane dotyczą – np. kontrahenci, pracownicy.

      Pozdrawiamy,

Leave a Reply

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

TOP 5 najpopularniejsze artykuły

obowiązek informacyjny RODO
Obowiązek informacyjny w RODO
416 Comments
05 kwi 2018
zgoda RODO
Zgoda na przetwarzanie danych osobowych według RODO
159 Comments
19 maj 2017
ochrona danych osobowych
Czym są dane osobowe wg RODO?
146 Comments
27 mar 2017
dane osobowe rodo
Umowa powierzenia przetwarzania danych osobowych według RODO
130 Comments
24 paź 2016
monitoring RODO
Monitoring wizyjny a ochrona danych osobowych
55 Comments
30 gru 2016

Najnowsze komentarze

Cattani43
28 wrz 2024
Tyle szumu jest o ten przepis, ale nikt nie wyjaśnił jasno czego on dotyczy. Co jest i l...
Tomasz
26 wrz 2024
Dzień dobry. Ostatnio dostałem maila od jednej z mam odnośnie jednej sytuacji, któr...
Łukasz Zegarek
25 wrz 2024
Dzień dobry, Piotrze, Dziękuję za pytanie dotyczące klauzuli informacyjnej w konte...
Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 16 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!