Wykorzystanie nieautoryzowanych narzędzi przetwarzania danych powodem naruszenia

Prezes UODO Mirosław Wróblewski, po przeprowadzeniu postępowania w sprawie naruszenia przepisów o ochronie danych osobowych zgłoszonego przez spółkę Energa-Obrót, nałożył upomnienia na administratora danych i podmioty przetwarzające. Prezes UODO nałożył dodatkowo administracyjną karę pieniężną na jeden z podmiotów przetwarzających dane osobowe.

Sprawa dotyczyła między innymi wykorzystywania nieautoryzowanych narzędzi służących komunikacji przez przedstawicieli handlowych działających na rzecz spółki w ramach sieci sprzedaży door2door. Organ nadzorczy stwierdził między innymi niedopełnienie przez spółkę - jako administratora - obowiązków w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych. Nieprawidłowości zostały stwierdzone również po stronie podmiotów, którym administrator powierzył przetwarzanie danych osobowych.

Sprawa sięga 2021 r., gdy w trakcie trwającej pandemii przedstawiciele partnerów biznesowych spółki Energa-Obrót proponowali odwiedzanym w domach klientom m.in. aneksy do dotychczasowych umów. W doniesieniach medialnych wskazywano na kontrowersje związane z praktykami stosowanymi przez przedstawicieli handlowych. Natomiast prawidłowość przetwarzania danych osobowych przez administratora oraz podmioty przetwarzające – spółkę oraz jej partnerów biznesowych – stała się przedmiotem oceny w toku postępowania administracyjnego wszczętego przez organ nadzorczy – Prezesa UODO. Impulsem do wszczęcia postępowania były wnioski z analizy zgłoszenia naruszenia ochrony danych osobowych. Zgłoszenie naruszenia ochrony danych osobowych przez administratora poprzedziła rozmowa pracowników spółki Energa-Obrót z byłym przedstawicielem handlowym, który poprosił o pomoc w wyegzekwowaniu należności od jego byłego pracodawcy. W trakcie rozmowy okazało się, że zarówno skarżący się były przedstawiciel handlowy, jak i jego współpracownicy, używali do komunikacji aplikacji Whatsapp. Na jego prywatnym telefonie, oprócz poleceń służbowych, znajdowały się skany i zdjęcia umów zawartych z klientami Spółki. Pozyskany przez administratora zrzut ekranu telefonu wskazywał, że konwersacje miały charakter grupowy. Administrator przeprowadził wewnętrzne postępowanie wyjaśniające i na podstawie swoich ustaleń dokonał oceny zdarzenia oraz stwierdził naruszenie ochrony danych osobowych - tego samego dnia zgłoszone Prezesowi UODO. W ustaleniach zawarł informację, że naruszenie dotyczyło z pewnością 15 osób, których dane osobowe były przetwarzane przez pracowników w trakcie realizacji projektu sprzedażowego.

Nieautoryzowana przez administratora aplikacja była przez wiele miesięcy narzędziem przetwarzania danych osobowych. W ramach wewnętrznego postępowania prowadzonego przez administratora, poprzedzającego zgłoszenie skierowane do Prezesa UODO, uzyskał od partnera biznesowego – który dopuścił stosowanie komunikatora – wyjaśnienia, że wymieniona aplikacja spełniała formę narzędzia pomocniczego i jej celem było usprawnienie komunikacji między handlowcami w warunkach pandemii, ponieważ odwiedzali klientów osobiście. Z każdym pracownikiem, zgodnie z jego wyjaśnieniami przedstawionymi administratorowi, zawarł upoważnienie do przetwarzania konkretnych danych osobowych w celu realizacji umów oraz przyjął od nich oświadczenia o zakazie konkurencji i zachowaniu poufności. Oprócz ustaleń z postępowania wewnętrznego administrator przekazał organowi nadzorczemu wyniki raportu zawierającego ocenę wagi naruszenia wskazujące na to, że komunikacja w ramach aplikacji odbywała się częściowo poza Europejskim Obszarem Gospodarczym.

Prezes UODO ustalił, że administrator dopuścił do naruszenia przepisów o ochronie danych osobowych poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz nie zweryfikował w sposób właściwy podmiotu przetwarzającego czy zapewnia wystarczające gwarancje wdrożenia wskazanych wcześniej środków.

W przypadku podmiotu przetwarzającego, który dopuścił korzystanie z komunikatora przez pracowników – oraz nie wdrożył przy tym odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych osobowych – organ nadzorczy podjął decyzje o udzieleniu upomnień oraz nałożeniu kary administracyjnej w wysokości 10 145 zł. W trakcie postępowania wykazano między innymi niespójności między wyjaśnieniami złożonymi przez administratora oraz wskazany powyżej podmiot  – który podejmował próby umniejszania swojej roli w procesie przetwarzania danych osobowych oraz przenoszenia odpowiedzialności za ustalone nieprawidłowości na inne osoby.

DKN.5131.7.2022