Prezes Urzędu Ochrony Danych Osobowych wydał w lutym 2026 r. jedną z najwyższych kar w historii polskiego nadzoru nad ochroną danych. Firma kurierska DPD zapłaci łącznie ponad 11,4 mln złotych za dwa odrębne naruszenia RODO. Sprawa jest wyjątkowo pouczająca — bo żadne z tych naruszeń nie wynikało z włamania, wycieku czy ataku hakerskiego. Oba były efektem zaniedbań organizacyjnych, które bardzo łatwo popełnić również w znacznie mniejszych podmiotach.
Przyjrzyjmy się szczegółom i zastanówmy się, jakie wnioski powinniśmy wyciągnąć.
Naruszenie pierwsze: brak umów powierzenia z zewnętrznymi przewoźnikami — kara 6 251 471 zł
DPD do transportu przesyłek pomiędzy swoimi oddziałami korzystało z usług zewnętrznych firm przewozowych (tzw. przewoźników LNH). Kierowcy tych firm uczestniczyli w załadunku i rozładunku przesyłek, mieli fizyczny dostęp do pojazdów, którymi je przewozili, a na etykietach adresowych widniały dane osobowe nadawców i adresatów: imiona, nazwiska, adresy, numery telefonów, adresy e-mail, a niekiedy nawet numery kont bankowych.
DPD twierdziło, że umowy powierzenia nie były potrzebne, bo przewoźnicy „tylko wożą” i nie mają dostępu do danych. Prezes UODO odrzucił tę argumentację — i słusznie. Skoro z treści samych umów wynikał obowiązek pomocy przy załadunku, a przesyłki były przewożone pojazdami będącymi własnością przewoźnika, to dane były im faktycznie powierzane. Bez stosownej umowy — w rozumieniu art. 28 ust. 3 RODO — przez cały okres od 25 maja 2018 r.
Naruszenie trwało zatem ponad 5 lat.
Co to oznacza dla Twojej organizacji?
Kluczowe jest tu prawidłowe rozróżnienie między dwoma kategoriami podmiotów, które pojawiają się w każdej organizacji:
Podmiot przetwarzający (art. 4 pkt 8 RODO) to podmiot, który przetwarza dane w imieniu administratora i na jego polecenie, nie określając samodzielnie celów ani sposobów przetwarzania. Z takim podmiotem wymagana jest umowa powierzenia zgodna z art. 28 ust. 3 RODO. Przykłady:
- firmy sprzątające z dostępem do pomieszczeń, gdzie przetwarzane są dane (dokumenty, ekrany),
- serwisanci sprzętu IT lub kserokopiarek mający dostęp do danych na urządzeniach,
- podmioty archiwizujące i niszczące dokumenty,
- dostawcy oprogramowania z dostępem zdalnym do systemów i baz danych,
- biura rachunkowe przetwarzające dane kadrowo-płacowe.
Odbiorca (art. 4 pkt 9 RODO) to podmiot, któremu dane są ujawniane, ale który działa jako odrębny administrator — na podstawie własnego tytułu prawnego, we własnym imieniu i we własnym celu. Z takim podmiotem umowy powierzenia się nie zawiera. Klasycznym przykładem są operatorzy pocztowi i firmy kurierskie doręczające przesyłki do adresatów: działają oni na podstawie Prawa pocztowego i Kodeksu cywilnego, samodzielnie odpowiadając za realizację usługi — są odbiorcami danych, nie podmiotami przetwarzającymi.
Właśnie w tym tkwi sedno sprawy DPD: przewoźnicy ukarani przez UODO nie byli zewnętrznymi kurierami doręczającymi paczki klientom, lecz podwykonawcami transportu wewnętrznego — przewozili przesyłki pomiędzy oddziałami samego DPD, działając wyłącznie na jego zlecenie i w jego interesie, bez żadnego własnego tytułu prawnego do przetwarzanych danych. To właśnie czyniło z nich podmiot przetwarzający, wymagający umowy z art. 28 ust. 3 RODO.
Zastanów się więc, czy w Twojej organizacji prawidłowo zidentyfikowano wszystkich podmiotów przetwarzających i czy z każdym z nich zawarto stosowną umowę powierzenia spełniającą wymogi RODO.
Naruszenie drugie: wadliwy system udzielania upoważnień — kara 5 209 559 zł
Drugie naruszenie dotyczyło sposobu, w jaki DPD udzielało pracownikom upoważnień do przetwarzania danych osobowych. System działał następująco: nowy pracownik przechodził szkolenie online na platformie e-learningowej, zaliczał test, potwierdzał zapoznanie się z zasadami ochrony danych — i w tym momencie system automatycznie przesyłał na jego komputer plik, który miał być upoważnieniem.
Problem polegał na tym, że ten plik:
- nie zawierał imienia ani nazwiska pracownika, któremu był przeznaczony,
- nie był podpisany przez żadną osobę działającą w imieniu spółki,
- nie wskazywał, kto upoważnienia udziela,
- był generowany automatycznie bez jakiegokolwiek świadomego aktu ze strony przełożonego.
W praktyce oznaczało to, że pracownik… upoważniał sam siebie. Prezes UODO uznał, że takie dokumenty w ogóle nie są upoważnieniami w rozumieniu art. 29 i art. 32 ust. 4 RODO. Co więcej — spółka przez lata nie wyznaczyła żadnej osoby uprawnionej do udzielania takich upoważnień, mimo że zobowiązywała ją do tego jej własna Polityka Ochrony Danych.
Co to oznacza dla Twojej organizacji?
Upoważnienie do przetwarzania danych osobowych to formalny dokument, z którego musi wynikać:
- kto je udziela (z imienia, nazwiska i funkcji),
- komu jest udzielane (z imienia i nazwiska pracownika),
- w jakim zakresie pracownik jest uprawniony do przetwarzania,
- oraz — co kluczowe — musi być w jakiś weryfikowalny sposób autoryzowane przez osobę do tego umocowaną.
Forma elektroniczna jest dopuszczalna, ale system musi zapewniać pełną rozliczalność: wiadomo kto, kiedy i komu upoważnienia udzielił.
Warto też upewnić się, że w organizacji wyznaczono osobę odpowiedzialną za nadawanie upoważnień — i że to wyznaczenie jest udokumentowane.
Dwie kluczowe lekcje z tej sprawy
Po pierwsze: „nie wiedziałem” i „myślałem, że nie trzeba” to nie jest obrona przed karą.
DPD przez całe postępowanie utrzymywało, że przewoźnicy nie przetwarzają danych, bo przesyłki są plombowane. Prezes UODO wykazał, że treść samych umów zaprzeczała temu twierdzeniu. Błędna ocena prawna podjęta świadomie jest traktowana jako działanie umyślne — co istotnie wpływa na wymiar kary.
Po drugie: posiadanie polityki ochrony danych to nie to samo co jej wdrożenie.
DPD miało Politykę Ochrony Danych, która wprost wskazywała, że należy wyznaczyć osobę do udzielania upoważnień. Przez lata tego nie zrobiono. W oczach UODO brak wdrożenia własnych procedur jest dowodem na to, że polityka istnieje tylko na papierze — i pogarsza, a nie poprawia ocenę sytuacji.
Podsumowanie
Decyzja w sprawie DPD jest ważnym sygnałem dla wszystkich administratorów danych — niezależnie od wielkości organizacji. UODO konsekwentnie bada nie tylko to, czy doszło do wycieku danych, ale przede wszystkim czy wdrożono odpowiednie środki organizacyjne, które takiemu wyciekowi zapobiegają.
Jeśli masz wątpliwości, czy Twoja organizacja prawidłowo reguluje kwestie powierzenia danych lub upoważnień pracowniczych — to dobry moment, żeby to sprawdzić.
Decyzja Prezesa UODO z lutego 2026 r., sygn. DKN.5112.1.2023