Zaloguj się 
Dzieje się!
Udostępnij przez e-mail Dane klientów w WhatsApp. Jest kara UODO
Prezes Urzędu Ochrony Danych Osobowych zakończył postępowanie dotyczące naruszenia ochrony danych osobowych w spółce Energa-Obrót i jej sieci sprzedaży. Powodem były m.in. nieautoryzowane narzędzia komunikacji wykorzystywane przez przedstawicieli handlowych, co doprowadziło do naruszenia przepisów RODO.
Prezes UODO Mirosław Wróblewski po przeprowadzeniu postępowania nałożył upomnienia na Energę-Obrót jako administratora danych oraz na podmioty przetwarzające dane osobowe na jej rzecz. Jeden z partnerów biznesowych spółki został dodatkowo ukarany administracyjną karą pieniężną w wysokości 10 145 zł.
Sprawa ma swoje źródło w 2021 roku, kiedy podczas pandemii przedstawiciele handlowi współpracujący z Energą-Obrót odwiedzali klientów w domach i proponowali m.in. aneksy do obowiązujących umów. W mediach pojawiały się wówczas informacje o kontrowersjach związanych z metodami sprzedaży stosowanymi przez handlowców.
Postępowanie UODO zostało wszczęte po analizie zgłoszenia naruszenia ochrony danych osobowych. Do zgłoszenia doszło po rozmowie pracowników Energi-Obrót z byłym przedstawicielem handlowym, który zwrócił się do spółki o pomoc w odzyskaniu należności od byłego pracodawcy. W trakcie rozmowy ujawniono, że on i jego współpracownicy wykorzystywali do komunikacji aplikację WhatsApp, która nie była autoryzowanym narzędziem administratora danych.
Czytaj również: Deregulacja nie wszędzie ma sens? Nowe unijne przepisy mogą osłabić RODO
Na prywatnym telefonie byłego handlowca znajdowały się nie tylko polecenia służbowe, ale również skany i zdjęcia umów zawartych z klientami Energi-Obrót. Zrzut ekranu przekazany spółce wskazywał także, że komunikacja odbywała się w ramach grupowych konwersacji. Po przeprowadzeniu wewnętrznego postępowania wyjaśniającego Energa-Obrót uznała, że doszło do naruszenia ochrony danych osobowych i jeszcze tego samego dnia zgłosiła sprawę do UODO.
W toku postępowania ustalono, że naruszenie dotyczyło co najmniej 15 osób, których dane były przetwarzane podczas realizacji projektu sprzedażowego. UODO podkreślił, że nieautoryzowana aplikacja była wykorzystywana do przetwarzania danych osobowych przez wiele miesięcy. Dodatkowo raport przekazany organowi nadzorczemu wskazywał, że część komunikacji za pośrednictwem aplikacji odbywała się poza Europejskim Obszarem Gospodarczym.
Partner biznesowy, który dopuścił stosowanie komunikatora, tłumaczył, że aplikacja miała charakter pomocniczy i służyła usprawnieniu kontaktów między handlowcami pracującymi w terenie w czasie pandemii. Według jego wyjaśnień pracownicy posiadali upoważnienia do przetwarzania danych, a także podpisane zobowiązania dotyczące poufności i zakazu konkurencji.
Prezes UODO uznał jednak, że Energa-Obrót nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Organ stwierdził również, że spółka nie zweryfikowała w wystarczającym stopniu, czy podmiot przetwarzający zapewnia odpowiednie gwarancje ochrony danych zgodnie z wymogami RODO.
Czytaj również: Ochrona dzieci przed pornografią a „technologiczna puszka Pandory”. UE szuka złotego środka w sprawie kontroli czatów
Nieprawidłowości wykryto także po stronie partnera biznesowego odpowiedzialnego za korzystanie z komunikatora. W trakcie postępowania UODO stwierdził m.in. niespójności między wyjaśnieniami składanymi przez administratora i podmiot przetwarzający. Według urzędu partner próbował umniejszać swoją rolę w procesie przetwarzania danych oraz przenosić odpowiedzialność za stwierdzone naruszenia na inne osoby, co ostatecznie zakończyło się nie tylko upomnieniem, ale również karą finansową.
Jak zauważa Damian Bielecki, ekspert ds. RODO i zgodności, sprawa pokazuje, że problemy związane z ochroną danych osobowych często wychodzą na jaw dopiero wtedy, gdy kończy się dobra współpraca między stronami.
W tym przypadku impulsem do ujawnienia naruszenia była rozmowa z byłym przedstawicielem handlowym, który domagał się rozliczenia finansowego od dawnego pracodawcy. Zdaniem eksperta to kolejny przykład potwierdzający, jak ważne jest przestrzeganie procedur również wtedy, gdy relacje biznesowe przebiegają bez konfliktów. Podkreśla on także, że pracownicy odchodzący z firmy powinni natychmiast tracić dostęp do wykorzystywanych systemów i danych. Takie działania chronią zarówno przedsiębiorstwo, jak i samych pracowników przed konsekwencjami działań podejmowanych pod wpływem emocji.
Ekspert zwraca również uwagę na podział odpowiedzialności za naruszenie. W jego ocenie istotne znaczenie miało to, że administrator danych sam zgłosił nieprawidłowości i współpracował z organem nadzorczym, dzięki czemu uniknął kary finansowej.
Bielecki zwraca uwagę, że sankcja została natomiast nałożona na podwykonawcę, który nie zapewnił odpowiedniej kontroli nad sposobem przetwarzania danych przez swoich pracowników. Choć kara w wysokości 10 145 zł nie jest wysoka, mogły na to wpłynąć szczególne okoliczności związane z okresem pandemii oraz brak szkody po stronie osób, których dane były przetwarzane. Zdaniem eksperta ważnym czynnikiem przemawiającym za ukaraniem były także niespójne i wzajemnie sprzeczne wyjaśnienia składane w trakcie postępowania.
