Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Każda sytuacja, w której dochodzi do przekazania danych osobowych innemu podmiotowi, rodzi określone obowiązki. Nie inaczej jest w przypadku współpracy z firmami kurierskimi, gdy dochodzi do przekazania kurierowi informacji o odbiorcy oraz nadawcy przesyłki. Co więcej, sama przesyłka również może zawierać informacje chronione przepisami RODO.

Co zatem dzieje się z danymi osobowymi przekazywanymi podczas współpracy z firmą kurierską? Kto jest ich administratorem? Kto odpowiada za ich bezpieczeństwo?

Dane nadawcy i odbiorcy

W przypadku podjęcia współpracy z firmą kurierską, gdzie przedmiotem zlecenia będzie klasyczna usługa doręczenia przesyłki do określonego odbiorcy, zarówno podmiot zlecający, jak i firma kurierska są odrębnymi administratorami danych odbiorców i nadawców przesyłek.

Oznacza to, że przepływ danych pomiędzy tymi podmiotami ma w tym zakresie charakter udostępnienia.

Podmiot zlecający udostępnia firmie kurierskiej dane odbiorców i nadawców przesyłek (imię, nazwisko, adres, czasem także numer telefonu czy email), w celu wykonania przez tę firmę zleconej jej usługi kurierskiej, tj. doręczenia przesyłki określonemu adresatowi, na określony adres.

Dane te firma kurierska przetwarza więc nie w imieniu zlecającego usługę, lecz we własnym, jako ich administrator. Tym celem przetwarzania danych jest prawidłowe wykonanie zlecenia.

Poza tym firma kurierska przetwarza dane nadawców i odbiorców w celu realizacji obowiązków wynikających z przepisów prawa regulujących działalność kurierską, tj. przede wszystkim przepisów Ustawy Prawo przewozowe, a w pewnym zakresie także przepisów Ustawy Prawo pocztowe – w odniesieniu do tzw. przesyłek kurierskich (w uproszczeniu są to rejestrowane listy oraz mniejsze paczki).

Przepisy te oraz wydane na ich podstawie akty wykonawcze szczegółowo określają:

  • sposób realizacji usługi kurierskiej,
  • weryfikację tożsamości odbiorcy,
  • tryb postępowania reklamacyjnego,
  • a także dane osobowe przetwarzane w tych procesach.

Wątpliwości co do powyższego nie mają zarówno Prezes UODO, sądy, jak i doktryna.

Wyrok WSA

Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. (sygnakt II SA/Wa 4143/21):

„(…) operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.”

Przedmiot korespondencji a RODO

Udostępnianie danych nadawców i odbiorców korespondencji wydaje się czymś na tyle naturalnym, że często nie rodzi dodatkowych pytań. Co jednak z danymi osobowymi znajdującymi się wewnątrz przesyłki?

Tu na pomoc przychodzą decyzja Prezesa UODO nakładająca karę pieniężną za niewypełnienie obowiązków administratora po zgubieniu przez firmę kurierską korespondencji oraz stanowisko wyrażone przez sąd w cytowanym już wyroku, oddalającym skargę Banku Millenium S.A. na tę decyzję.

Wyrok WSA

Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. (sygnakt II SA/Wa 4143/21):

„To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada.”

Idąc dalej, sąd dodatkowo podkreślił, że w zagubionej przesyłce znajdowały się dokumenty bankowe, a to przemawia za jednoznacznym stwierdzeniem, iż administratorem jest bank, który nadał przesyłkę i to on zobowiązany był do zrealizowania obowiązków ciążących na administratorze danych.

Zatem: Prezes UODO wydał decyzję na mocy której wyraźnie stwierdził, że za naruszenie ochrony danych osobowych znajdujących się w przesyłce odpowiada bank jako administrator tych danych. Stanowisko to zostało wyraźnie potwierdzone sąd.

Oczywiście nie oznacza to całkowitego wyłączenia odpowiedzialności firmy kurierskiej za zawartość przesyłki. Każdy z operatorów pocztowych odpowiada bowiem za bezpieczeństwo przesyłek w ramach należytego wykonywania usług oraz przestrzegania zasad i obowiązków określonych we wskazanej wcześniej Ustawie Prawo pocztowe. Firma kurierska zobowiązana jest m.in. do ochrony tajemnicy pocztowej, która obejmuje informacje przekazywane w przesyłkach. Zgodnie z art. 41 ust. 6 tej ustawy, ma ona obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej.

Usługi dodatkowe

W niektórych przypadkach, podmiot zlecający i firma kurierska mogą współpracować w ramach usług dodatkowych, w szczególności tzw. usługi ROD (“return of documents”). Usługa ta polega na:

  • przyjęciu przez firmę kurierską zlecenia dostarczania dokumentów do podpisu (np. umów na usługi telekomunikacyjne),
  • odebraniu dokumentów zwrotnych od adresatów,
  • weryfikacji prawidłowości odbieranych dokumentów,
  • a następnie dostarczeniu ich do siedziby podmiotu zlecającego.

W powyższym przypadku ma miejsce powierzenie przetwarzania danych osobowych, gdzie podmiot zlecający  powierza firmie kurierskiej przetwarzanie danych ujawnionych w dokumentach. Zakres i cel takiego powierzenia wynika z postanowień konkretnej umowy o współpracy. W tym przypadku często określa to regulamin usług przewozowych (kurierskich).

umowa powierzenia przetwarzania danych

Umowa powierzenia

Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.

Zobacz co otrzymasz w pakiecie.

Sprawdź

Takie też stanowisko prezentuje polski organ nadzorczy. Już na podstawie uprzednio obowiązujących przepisów, GIODO (poprzednik Prezesa UODO), wskazywał na konieczność zawarcia umowy powierzenia z firmą kurierską w przypadkach, kiedy mamy do czynienia z usługami sięgającymi poza klasyczne dostarczenie przesyłki do adresata (decyzja z dnia 11 września 2011 r. DOLiS/DEC-819/11 dot. DOLiS-440-661/10/GP/).

Decyzja UODO i wyrok WSA

Stanowisko organu wydaje się jak najbardziej aktualne, mając na uwadze choćby decyzję Prezesa UODO w sprawie Cyfrowego Polsatu. Organ wszczął postępowanie w związku ze wzrostem liczby zgłoszeń zagubionych czy błędnie dostarczonych przesyłek oraz zbyt długim, zdaniem organu, czasem, jaki upływał między naruszeniem a przekazaniem klientom informacji o nim. Chodziło o przesyłki obejmujące umowy z klientami, które były zawierane na odległość (czyli klasyczna usługa ROD). Postępowanie zakończyło wydanie decyzji nakładającej karę w wysokości ponad 1 mln zł.

Podczas postępowania dla organu oczywiste było, że firma kurierska występuje tu w roli pomiotu przetwarzającego. Tym bardziej, że Cyfrowy Polsat dysponował odpowiednią umową powierzenia przetwarzania danych osobowych.

Innego zdania był jednak WSA w Warszawie, który uchylił nałożoną karę. Zdaniem sądu, Prezes UODO nie wyjaśnił przekonywująco, dlaczego tak a nie inaczej określił status firmy kurierskiej. W opinii WSA, przyjmując, że jest ona procesorem, organ kierował się głównie tym, że Cyfrowy Polsat zawarł z tą firmą umowę powierzenia, a to nie musi być przesądzające.

Wyrok WSA

Wyrok WSA w Warszawie z dnia 15 listopada 2021 r. (sygn. akt II SA/Wa 2465/21)

„Organ, w szczególności, nie dokonał w sposób pełny ustaleń co do roli i zakresu odpowiedzialności "podmiotu świadczącego usługi kurierskie’', w tym co do okoliczności pozwalających na "zakwalifikowanie" tego podmiotu jako administratora lub procesora w ramach współpracy z [...] oraz określenia zakresu zadań i obowiązków każdego z nich, w ramach zapewnienia bezpieczeństwa przetwarzania danych klientów [...] przez szybką identyfikację naruszeń.”

Zgodnie z wyrokiem, Prezes UODO musi dokonać analizy roli, w jakiej występuje firma kurierska. Rozstrzygnięcie sprawy na pewno będzie kluczowe dla podmiotów korzystających z usług typu ROD. Ciężko wyobrazić sobie jednak, że organ przedstawi odmienne, niż do tej pory, stanowisko w tej sprawie.

Podsumowanie

Realizacja współpracy z firmą kurierską bez przekazania jej jakichkolwiek danych osobowych jest oczywiście niemożliwa. Właściwe określenie charakteru tego przekazania, jak i roli w jakiej występują podmiot zlecający usługę oraz kurier, jest kluczowe dla późniejszego stwierdzenia, kto ponosi odpowiedzialność za przestrzeganie przepisów RODO.

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

Powiązane artykuły

Co ADO powinien zapewnić IODowi? (cz. II)
Co ADO powinien zapewnić IODowi? (cz. I)
Ocena skutków transferu danych TIA w praktyce

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.