Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zakończył postępowanie w sprawie naruszenia ochrony danych osobowych w spółce Energa-Obrót. Jak ustalił urząd, przedstawiciele handlowi działający dla partnerów biznesowych spółki wykorzystywali komunikator WhatsApp do przesyłania m.in. skanów i zdjęć umów zawartych z klientami. Sprawa dotyczy zdarzeń z 2021 roku.
Co się stało
W czasie pandemii przedstawiciele partnerów handlowych Energi-Obrót odwiedzali klientów w ich domach (sprzedaż „door-to-door", czyli poza lokalem przedsiębiorstwa) i proponowali m.in. aneksy do dotychczasowych umów. Według ustaleń UODO były przedstawiciel handlowy oraz jego współpracownicy przez wiele miesięcy używali do komunikacji służbowej prywatnego telefonu i aplikacji WhatsApp.
Na prywatnym telefonie jednego z handlowców — obok poleceń służbowych — znaleziono skany i zdjęcia umów zawartych z co najmniej 15 klientami Energi-Obrót. Dane były więc przetwarzane poza firmowymi, zabezpieczonymi kanałami. Co istotne, komunikacja przez WhatsAppa odbywała się częściowo poza Europejskim Obszarem Gospodarczym, co samo w sobie rodzi pytania o zgodność z RODO w zakresie transferu danych.
Jak sprawa wyszła na jaw
Nieprawidłowości nie wykrył audyt ani kontrola. Według relacji Bankier.pl wszystko ujawniło się przypadkiem: jeden z byłych handlowców zgłosił się bezpośrednio do Energi-Obrót, prosząc o pomoc w odzyskaniu zaległych pieniędzy od swojego przełożonego. Podczas rozmowy pokazał prywatny telefon — i wówczas okazało się, że sprzedawcy posługiwali się WhatsAppem do obsługi danych klientów. Po wykryciu procederu spółka przeprowadziła wewnętrzne postępowanie i — jako administrator danych — sama zgłosiła naruszenie do UODO.
Stanowisko Energi-Obrót i decyzja UODO
Spółka konsekwentnie podkreśla, że działania pracowników subagenta odbywały się bez jej wiedzy i zgody, oraz że to ona wykryła problem i zawiadomiła organ nadzorczy. Należy odróżnić to stanowisko od ustaleń urzędu: UODO nie zarzucił spółce, że zleciła czy akceptowała korzystanie z WhatsAppa, lecz że jako administrator nie dopełniła obowiązków nadzorczych wobec podmiotu przetwarzającego dane.
Urząd uznał, że Energa-Obrót nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (art. 32 RODO), a także nie zweryfikowała właściwie gwarancji ochrony danych po stronie podmiotu przetwarzającego (art. 28 RODO). Finał postępowania: Energa-Obrót otrzymała upomnienie, a podmiot przetwarzający dane — partner, który wprost pozwolił pracownikom używać WhatsAppa — upomnienie oraz karę finansową w wysokości 10 145 zł.
Ryzyko dla klientów i kontekst
Umowy z klientami zwykle zawierają dane pozwalające na identyfikację oraz informacje o charakterze finansowym, dlatego nawet przy stosunkowo niewielkiej liczbie poszkodowanych przechowywanie skanów na prywatnym telefonie i przesyłanie ich przez komunikator oznacza realne ryzyko nieuprawnionego dostępu. Dokładny zakres danych w umowach (np. czy obejmowały numer PESEL lub dane z dokumentu tożsamości) na podstawie dostępnych komunikatów pozostaje niedoprecyzowany. Sprawa jest przestrogą dla całej branży: korzystanie z prywatnych komunikatorów do obsługi danych klientów łatwo prowadzi do utraty kontroli nad informacjami, a odpowiedzialność spoczywa również na administratorze, który zleca sprzedaż partnerom zewnętrznym.



