Przedstawiciele handlowi korzystali z WhatsAppa do przesyłania dokumentów klientów Energa-Obrót. Na prywatnych telefonach znajdowały się skany i zdjęcia umów, a część komunikacji mogła odbywać się poza Europejskim Obszarem Gospodarczym. Prezes UODO uznał, że spółka i jej partnerzy nie zapewnili odpowiednich zabezpieczeń. Jeden z podmiotów otrzymał karę w wysokości 10 145 zł.
Nieautoryzowany komunikator, prywatne telefony i dokumenty klientów przesyłane między handlowcami. Tak wyglądała sprawa, którą zbadał Prezes Urzędu Ochrony Danych Osobowych po zgłoszeniu naruszenia przez Energa-Obrót.
Postępowanie zakończyło się upomnieniami dla administratora danych i podmiotów przetwarzających dane. Jeden z partnerów biznesowych spółki został dodatkowo ukarany grzywną w wysokości 10 145 zł.
UODO uznał, że w procesie obsługi klientów zabrakło skutecznej kontroli nad tym, w jaki sposób dane osobowe były przetwarzane w praktyce.
Handlowcy używali WhatsAppa do pracy
Sprawa dotyczy sieci sprzedaży door-to-door, działającej na rzecz Energa-Obrót w czasie pandemii. Przedstawiciele handlowi odwiedzali klientów w domach i proponowali między innymi podpisywanie aneksów do obowiązujących umów.
W trakcie późniejszego postępowania okazało się, że osoby zaangażowane w sprzedaż korzystały z WhatsAppa jako narzędzia służbowej komunikacji. Problem w tym, że aplikacja nie była zatwierdzona przez administratora danych do przetwarzania informacji o klientach.
Na prywatnym telefonie jednego z byłych przedstawicieli handlowych znajdowały się zdjęcia i skany dokumentów zawartych z klientami Energa-Obrót. Zrzut ekranu przekazany spółce wskazywał, że rozmowy odbywały się także w grupowych czatach.
To oznaczało, że dane klientów mogły trafiać do osób i systemów, nad którymi administrator nie miał pełnej kontroli.
Wszystko wyszło na jaw przez spór o pieniądze
Do ujawnienia sprawy doszło przypadkowo. Były przedstawiciel handlowy skontaktował się z Energa-Obrót, prosząc o pomoc w odzyskaniu należności od byłego pracodawcy.
W czasie rozmowy wyszło na jaw, że on i inni handlowcy korzystali z WhatsAppa do przekazywania poleceń służbowych oraz dokumentów związanych z klientami. Spółka wszczęła wewnętrzne postępowanie wyjaśniające, a następnie zgłosiła naruszenie do UODO.
Energa-Obrót ustaliła, że problem na pewno dotyczył danych co najmniej 15 osób. Skala mogła jednak być większa, ponieważ komunikator był wykorzystywany przez wiele miesięcy.
Prywatny telefon nie jest bezpiecznym systemem firmowym
Partner biznesowy, który dopuścił korzystanie z komunikatora, tłumaczył, że WhatsApp miał jedynie usprawnić pracę handlowców w okresie pandemii. Przedstawiciele odwiedzali klientów osobiście, dlatego potrzebowali szybkiego sposobu komunikacji.
Podmiot wskazywał również, że pracownicy mieli upoważnienia do przetwarzania danych osobowych, podpisywali zobowiązania do zachowania poufności i zakazu konkurencji.
UODO uznał jednak, że to za mało. Samo podpisanie dokumentów nie wystarcza, gdy firma nie kontroluje narzędzi, z których faktycznie korzystają pracownicy.
Z perspektywy RODO znaczenie ma nie tylko to, kto ma dostęp do danych, ale także gdzie dane są przechowywane, w jaki sposób są przesyłane i czy organizacja ma możliwość nadzorowania tego procesu.
Część danych mogła być przetwarzana poza EOG
W materiałach przekazanych do UODO znalazła się informacja, że część komunikacji prowadzonej za pomocą aplikacji mogła odbywać się poza Europejskim Obszarem Gospodarczym.
To dodatkowo zwiększało ryzyko. Transfer danych poza EOG wymaga bowiem odpowiednich podstaw prawnych i zabezpieczeń. Firma powinna wiedzieć, gdzie trafiają dane klientów, kto może uzyskać do nich dostęp oraz czy dostawca usługi zapewnia wymagany poziom ochrony.
W przypadku popularnych komunikatorów używanych prywatnie firmy często nie mają pełnej kontroli nad tymi elementami.
UODO: Energa-Obrót nie zweryfikowała partnera wystarczająco dobrze
Prezes UODO uznał, że Energa-Obrót nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które zapewniałyby bezpieczeństwo danych osobowych.
Według urzędu spółka nie zweryfikowała też w wystarczającym stopniu, czy partner przetwarzający dane rzeczywiście stosuje wymagane zabezpieczenia.
To ważny sygnał dla firm korzystających z outsourcingu. Administrator danych nie może poprzestać na podpisaniu umowy powierzenia przetwarzania danych. Powinien również sprawdzać, jak partner działa w praktyce.
Chodzi między innymi o audyty, procedury, szkolenia oraz kontrolę nad używanymi przez pracowników urządzeniami i aplikacjami.
Kara dla partnera biznesowego
Podmiot, który dopuścił korzystanie z WhatsAppa przez handlowców, otrzymał upomnienie oraz karę administracyjną w wysokości 10 145 zł.
UODO zwrócił uwagę, że w trakcie postępowania pojawiły się rozbieżności między wyjaśnieniami Energa-Obrót a stanowiskiem partnera. Organ uznał, że podmiot przetwarzający próbował ograniczać swoją odpowiedzialność i przenosić ją na inne osoby.
Urząd przypomniał, że podmiot przetwarzający dane nie jest jedynie wykonawcą poleceń administratora. Ma własne obowiązki wynikające z RODO i odpowiada za to, czy stosuje odpowiednie zabezpieczenia.
Firmy powinny uważać na „wygodne” narzędzia
Sprawa pokazuje, że największe problemy z ochroną danych często nie wynikają z zaawansowanych cyberataków. Czasem wystarczy prywatny telefon, grupowy czat i przesłanie zdjęcia dokumentu klienta.
Dla pracownika może to być szybkie i wygodne rozwiązanie. Dla firmy może oznaczać naruszenie RODO, konieczność zgłoszenia incydentu, kontrolę urzędu i ryzyko kary.
Szczególnie ostrożne powinny być organizacje korzystające z zewnętrznych sieci sprzedaży, call center, agentów, firm marketingowych czy podwykonawców obsługi klienta. Im więcej osób uczestniczy w procesie, tym trudniej zachować kontrolę nad danymi.
Wnioski są proste: firmy powinny jasno wskazywać, z jakich narzędzi wolno korzystać, blokować wykorzystywanie prywatnych komunikatorów do przesyłania danych klientów i regularnie sprawdzać, czy zasady są przestrzegane.
Sygnatura sprawy: DKN.5131.7.2022
