Kara za naruszenie przepisów RODO nałożona na firmę kurierską DPD wyniosła aż 11 461 030 zł. Prezes Urzędu Ochrony Danych Osobowych uznał po kontroli wszczętej z urzędu, że w ramach modelu operacyjnego firmy doszło do dwóch odrębnych naruszeń RODO.

Pierwsze z dwóch naruszeń przepisów RODO (art. 24 ust.1 i 2, art. 29 oraz art. 32 ust.1 i 4 RODO) dotyczyło wadliwego systemu upoważnień do przetwarzania danych osobowych i brak środków organizacyjnych. Spółka wdrożyła elektroniczną platformę szkoleniową, za pośrednictwem której można było zaliczać test z ochrony danych osobowych. Po zaliczeniu testu system automatycznie generował plik z treścią „upoważnienia”, zapisywał go na dysku pracownika. W zaświadczeniu o zaliczeniu testu brakowało podpisu członka zarządu lub osoby umocowanej, formalnie wyznaczonej osoby do nadawania upoważnień, a także możliwości ustalenia, kto i komu nadał upoważnienie. Spółka traktowała fakt zaliczenia testu jako równoważne z udzieleniem upoważnienia.

Prezes UODO w decyzji z 5 marca 2026 r. (DKN.5112.1.2023) wskazał, że:

• upoważnienie musi być oświadczeniem woli administratora, powinno być podpisane nie może być generowane automatycznie „w reakcji” na działanie pracownika,
• system nie zapewniał rozliczalności,
• nie było możliwości przypisania aktu udzielenia upoważnienia konkretnej osobie uprawnionej (na upoważnieniach nie było imion i nazwisk),
• spółka nie wdrożyła własnej polityki ochrony danych (brak wyznaczenia osoby nadającej upoważnienia).

Drugie naruszenie przepisów (art. 28 ust. 3 RODO) dotyczyło zlecenia transportu zewnętrznym podmiotom. Firma przy transporcie pomiędzy swoimi oddziałami przesyłek zawierających etykiety adresowe korzystała z usług zewnętrznych przewoźników, bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych.