Wstęp
W dobie dynamicznego rozwoju usług kurierskich, szczególnie w i po okresie pandemii, ochrona danych osobowych staje się jednym z kluczowych wyzwań w branży logistycznej. Codziennie miliony paczek zawierających informacje o odbiorcach — takie jak imię, nazwisko, adres czy numer telefonu, a także dane osobowe znajdujące się w przesyłkach — przemieszczają się w sieci dystrybucyjnej. Ale to przede wszystkim – bardzo duże wyzwanie dla administratorów danych znajdujących się w przesyłkach, czyli podmiotów zlecających wysyłkę paczkę.
Firmy kurierskie oraz operatorzy pocztowi zaangażowani w dostarczanie przesyłek stają się zatem częścią całego łańcucha odpowiedzialności za dane osobowe. Z jednej strony odpowiadają za to, aby informacje nie trafiły w niepowołane ręce, a z drugiej — aby przesyłki były dostarczone zgodnie z zasadami poufności. Przestrzeganie przepisów RODO oraz wewnętrznych procedur jest kluczowe w procesie ochrony prywatności klientów, którzy oczekują od firm kurierskich i operatorów pocztowych wysokiego poziomu bezpieczeństwa. Niestety, bardzo dużym problemem jest kwestia odpowiedzialności kurierów/operatorów pocztowych w zakresie naruszeń ochrony danych spowodowanych zgubieniem przesyłki. Co się dzieje z danymi osobowymi, które znajdowały się na dokumentacji w zamkniętej przesyłce? Kto odpowiada w takim przypadku za naruszenie ochrony danych? Jakie obowiązki spoczywać będą na podmiocie zlecającym wysyłkę? Na te pytania z perspektywy obowiązujących przepisów, podejścia organów, wyroków sądów postaram się odpowiedzieć poniżej.
Kto jest odpowiedzialny na gruncie RODO za zgubienie przesyłki z danymi osobowymi?
Na samym początku warto odnieść się do decyzji PUODO oraz wyroku Wojewódzkiego Sądu Administracyjnego, który badał zagadnienie będące przedmiotem rozważań w niniejszym artykule. Chodziło o sytuację, w której firma kurierska zgubiła przesyłką wysyłaną przez Bank[1]. Przesyłka zawierała szeroki zakres danych tj. imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku itd. Niestety Urząd o całej sprawie nie dowiedział się ani od Banku ani od firmy kurierskiej. O naruszeniu PUODO został poinformowany przez osobę trzecią. Administrator (tj. Bank) ocenił, że naruszenie miało średnie ryzyko negatywnych konsekwencji dla podmiotów danych i zdecydował nie zgłosić naruszenia oraz nie zawiadamiać podmiotów danych. Jak się okazało, były to dwa główne czynniki, które spowodowały nałożenie kary, co podkreślił sam Urząd. Jednak w tej kwestii bardziej kluczowe przy naszym temacie jest, to co PUODO stwierdził w zakresie odpowiedzialności za opisane naruszenie. Zdaniem organu nadzorczego odpowiedzialny za naruszenie jest zawsze administrator, czyli podmiot wysyłający przesyłkę. Administratorem danych w tym przypadku był Bank. Bank korzystając z firmy kurierskiej niejako „stracił kontrolę” nad danymi osobowymi, które zostały zgubione. Dlatego też doszło do naruszenia ochrony danych osobowych.
Wnioski PUODO i Sądu
Jednocześnie PUODO doszedł do wniosku, a następnie potwierdzone to zostało przez Wojewódzki Sąd Administracyjny (wyrok Wojewódzkiego Sądu Administracyjny w Warszawie z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21[2]), że w tej sytuacji bank jest administratorem danych. Zdaniem Sądu tylko bank wiedział jakie dokumenty i jakie dane osobowe mogą znajdować się w zamkniętej przesyłce. Bank ustalał cele i sposoby przetwarzania tych danych. W przesyłce znajdowały się m. in. pełnomocnictwa, umowa konta oszczędnościowego oraz umowa rachunków bankowych. Zdaniem PUODO i WSA to bank ustalał cele i sposoby przetwarzania danych osobowych znajdujących się w przesyłce. To jaką rolę w takim razie zdaniem Sądu i PUODO pełniła w całej sytuacji firma kurierska? Sąd stwierdził: „W przypadku nieprawidłowości w dostarczaniu przesyłki obowiązek ochrony interesów podmiotu danych z punktu widzenia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, ciąży na nadawcy przesyłki, który znając zawartość utraconej korespondencji, jest w stanie ocenić zagrożenia wynikające dla osoby, której dane dotyczą. Natomiast operator pocztowy oraz firma kurierska obowiązki administratora, w rozumieniu przepisów RODO, może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek.” Sąd w dalszej części argumentował, że Bank znając zawartość przesyłki był w stanie prawidłowo oszacować ryzyko naruszenia praw i wolności podmiotów danych. Firma kurierska może to tylko zrobić w zakresie danych znajdujących się na przesyłce – w tym zakresie jest administratorem danych.
Luki w obowiązujących przepisach
Warto również przytoczyć fragmenty sprawozdań PUODO. Zgodnie ze sprawozdaniem z działalności za rok 2019 (str. 129-131): „w przypadku zgubienia przesyłki pocztowej obowiązki określone w art. 33 i art. 34 RODO spoczywają na nadawcy przesyłki, ponieważ to on posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a w tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utratą przesyłki. Prezes UODO nie przyjmował w tym zakresie argumentacji niektórych nadawców masowych, zgodnie z którą to operator pocztowy powinien przekazać wyjaśnienie w zakresie naruszenia organowi nadzorczemu oraz to on powinien zawiadomić o naruszeniu osobę, której dane dotyczą.”
Należy wskazać na jeszcze jeden fragment z ww. sprawozdania, a mianowicie: „Administratorzy próbują zabezpieczać się na takie ewentualności i w wielu przypadkach kwestie związane z niezrealizowaniem przesyłek są uregulowane w indywidualnych umowach pomiędzy nimi a operatorami pocztowymi – tu często mają zastosowanie kary umowne. Mimo to problem z zagubionymi przesyłkami, w których są dane osobowe, ma miejsce i jest bardzo dotkliwy dla administratorów i osób, których dane dotyczą. Dlatego w 2019 r. Prezes UODO wspólnie z Urzędem Komunikacji Elektronicznej sygnalizował rynkowi pocztowemu, że powinny zostać wypracowane działania, które by ten problem ograniczyły. Wskazywał przy tym, że operatorzy również odpowiadają za bezpieczeństwo tych przesyłek i należyte wykonywanie usług. Obowiązuje ich także tajemnica pocztowa, o której mówi art. 42 ustawy – Prawo pocztowe. Przypomniał także administratorom o ich obowiązkach m.in. w zakresie zabezpieczenia danych i zachęcał, by administratorzy, którzy korzystają z usług pocztowych wspólnie z operatorami wypracowali zasady współpracy na wypadek zagubienia korespondencji” (strona 130).
Polski organ nadzorczy wskazuje, że odpowiedzialnym za realizację przepisów RODO w przypadku zgubienia przesyłki jest nadawca. Jednocześnie Urząd zwraca uwagę na potrzebę unormowania kwestii przetwarzania danych przez kurierów czy to w formie umownej czy też poprzez regulacje na rynku usług pocztowych. Od tego momentu nie powstały jednak żadne dodatkowe wytyczne, przepisy lub rekomendacje w tej sprawie.
Warto jednocześnie przytoczyć stanowisko brytyjskiego organu nadzorczego. ICO (Information Commissioner’s Office) w dokumencie dotyczącym różnić pomiędzy administratorem a podmiotem przetwarzającym[3] wskazuje, że: kurier nie jest ani administratorem danych, ani podmiotem przetwarzającym dane klientów korzystających z jej usług, ponieważ:
– nie ma kontroli nad treścią powierzonych mu danych osobowych;
– nie sprawuje żadnej kontroli nad celem, w jakim wykorzystywane są dane osobowe zawarte w powierzonych mu przesyłkach
– jest tylko łącznikiem między nadawcą poczty, a odbiorcą.
Dalej ICO wskazuje, że: „(…) firma świadcząca usługi kurierskie nie byłaby w stanie zapewnić, że dane osobowe w jej posiadaniu są dokładne, aktualne lub przechowywane tylko tak długo, jak to konieczne. Nie może ponosić odpowiedzialności za ochronę danych osobowych zawartych w przesyłce pocztowej. Odpowiada jedynie za bezpieczeństwo listu lub paczki w sensie fizycznym. Jeśli firma kurierska zgubi przesyłkę zawierającą bardzo wrażliwe dane osobowe, to administrator danych, który przesłał te dane, ponosi odpowiedzialność za utratę. To administrator danych zdecydował się na skorzystanie z usługi dostawy. Jeżeli istotne było, aby dane osobowe zostały dostarczone w bezpieczny sposób, administrator danych powinien był skorzystać z bezpiecznego doręczenia, a nie zwykłej usługi pocztowej.”
Podsumowanie
Zdaniem polskiego i brytyjskiego organu nadzorczego pełną odpowiedzialność za dane osobowe znajdujące się w zamkniętej przesyłce ponosi nadawca jako podmiot, który jest świadomy zakresu danych i celów ich przetwarzania. Firmy kurierskie nie występują w tym przypadku w żadnej roli.
Nie można jednak zgodzić się ze stanowiskiem, że firma kurierska w żaden sposób nie przetwarza danych osobowych. Definicja przetwarzania danych osobowych zawarta w art. 4 ust. 2 RODO jest bardzo szeroka. Jest to każda operacja wykonywana na danych osobowych. Przechowywanie danych i ich przekazywanie od nadawy do odbiorcy, mimo braku fizycznego zapoznania się z nimi, powinno być uznane również za ich przetwarzanie. Jak wskazuje się w doktrynie jako przykład przetwarzania danych podaje się przenoszenie danych utrwalonych w postaci dokumentów papierowych pomiędzy pomieszczeniami lub budynkami administratora[4]. Podobna sytuacja występuje w opisywanej sytuacji. Kurier niejako przenosi / transportuje dane osobowe w przesyłce z miejsca A do miejsca B. Firma kurierska jako operator pocztowy musi zachować należytą staranność przy wykonywaniu swoich usług oraz zobowiązana jest do zachowania tajemnicy pocztowej. Tajemnica pocztowa obejmuje również zawartość, w tym dane osobowe, w przekazywanej przesyłce. W komentarzu oxfordzkim[5] do RODO wskazuje się, w odniesieniu do art. 4 pkt 2 RODO, że trudno wyobrazić sobie jakąkolwiek operację wykonywaną na danych osobowych, która nie mieściłaby się w definicji „przetwarzania”. Kurierzy przekazując dane osobowe w zamkniętej kopercie faktycznie wykonują operację na tych danych w postaci ich: przechowywania, transportu i prawidłowego doręczenia. Operator pocztowy zobowiązany jest do ochrony tajemnicy pocztowej obejmującej informacje przekazywane w przesyłkach pocztowych. Firmy kurierskie mają obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych. Natomiast z punktu widzenia ewentualnej odpowiedzialności za naruszenie ochrony danych osobowych, firma kurierska / operator pocztowy w praktyce nie zgłosi takiego naruszenia, bo nie będzie w stanie określić zakresu danych znajdujących się w przesyłce, a tym samym nie będzie w stanie prawidłowo ocenić powagi tego naruszenia.
I ze względu na luki w prawie, brak uregulowania tej kwestii wprost w przepisach prawa pocztowego oraz prawa przewozowego – na co zwraca uwagę PUODO – na ten moment niestety musimy przyjąć, że za każdym razem, gdy przesyłka zostanie zgubiona przez kuriera lub operatora pocztowego kwestia analizy powagi naruszenia, oceny skutków dla podmiotów danych i ewentualnie zgłoszenie naruszenia oraz zawiadomienia podmiotów spoczywa na podmiocie wysyłającym przesyłkę.
[1] https://uodo.gov.pl/decyzje/DKN.5131.16.2021
[2] https://orzeczenia.nsa.gov.pl/doc/41E49BE3A3
[3] https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf?fbclid=IwAR0V8B_HHdS5KX5c_BU64iX2TJHqoFcoqgmH6PA6lYQ4hD_a6I2dK8xaGlE
[4] B. Fischer, M. Górski, A. Nerka, M. Sakowska-Baryła, K. Wygoda, Komentarz do art. 4 [w:] Ogólne rozporządzenie…, red. M. Sakowska-Baryła, s. 79)
[5] The EU General Data Protection Regulation: A Commentary, May 2021, Oxford University Press
