Energa wysyłała umowy klientów WhatsAppem. UODO nałożył karę
Dane klientów Energa-Obrót trafiały do komunikatora używanego poza kontrolą spółki, a naruszenie wyszło na jaw dopiero dzięki byłemu pracownikowi. Najnowsza sprawa Energa-Obrót, która trafiła do Urzędu Ochrony Danych Osobowych (UODO) odsłania słabości modelu sprzedaży door‑to‑door i pokazuje, jak łatwo formalne procedury mogą rozminąć się z praktyką.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski, po przeprowadzeniu postępowania dotyczącego naruszenia przepisów o ochronie danych osobowych zgłoszonego przez spółkę Energa-Obrót, nałożył upomnienia na administratora danych oraz podmioty przetwarzające. Dodatkowo jeden z podmiotów przetwarzających został ukarany administracyjną karą pieniężną. Spółka w komentarzu dla PAP Biznes potwierdziła, że stwierdziła naruszenie danych, które zgłosiła niezwłocznie do urzędu, a działania pracowników subagenta były „samowolne”.
Sprawa dotyczyła m.in. wykorzystywania nieautoryzowanych narzędzi komunikacji przez przedstawicieli handlowych działających w sieci sprzedaży door-to-door. Organ nadzorczy stwierdził, że spółka – jako administrator danych – nie dopełniła obowiązków w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych. Nieprawidłowości wykazano także po stronie podmiotów przetwarzających, którym powierzono dane osobowe.
Tło sprawy. Umowy wysyłano w trakcie pandemii COVID-19
Postępowanie dotyczy zdarzeń z 2021 r., kiedy w trakcie pandemii COVID-19 przedstawiciele partnerów biznesowych Energa-Obrót odwiedzali klientów w domach, proponując m.in. aneksy do umów. W przestrzeni publicznej pojawiały się wówczas kontrowersje dotyczące stosowanych praktyk sprzedażowych.
Prawidłowość przetwarzania danych osobowych przez spółkę i jej partnerów biznesowych stała się przedmiotem postępowania administracyjnego wszczętego przez Prezesa UODO. Impulsem były wnioski z analizy zgłoszenia naruszenia ochrony danych.
Do zgłoszenia doszło po rozmowie pracowników Energa-Obrót z byłym przedstawicielem handlowym, który zwrócił się o pomoc w dochodzeniu należności od byłego pracodawcy. W jej trakcie ujawniono, że on oraz inni współpracownicy korzystali z komunikatora WhatsApp do celów służbowych. Na jego prywatnym telefonie znajdowały się m.in. skany i zdjęcia umów z klientami spółki. Zrzuty ekranu wskazywały, że rozmowy miały charakter grupowy.
Po przeprowadzeniu wewnętrznego postępowania wyjaśniającego administrator uznał, że doszło do naruszenia ochrony danych osobowych, które tego samego dnia zgłosił Prezesowi UODO. Według ustaleń naruszenie dotyczyło co najmniej 15 osób.
Nieautoryzowane narzędzia stosowane przez wiele miesięcy
Nieautoryzowana aplikacja była wykorzystywana przez wiele miesięcy jako narzędzie przetwarzania danych osobowych. Partner biznesowy, który dopuścił jej stosowanie, tłumaczył, że miała ona charakter pomocniczy i służyła usprawnieniu komunikacji w warunkach pandemii – informuje UODO.
Jak wskazano, z pracownikami zawarto upoważnienia do przetwarzania danych oraz odebrano od nich oświadczenia o poufności i zakazie konkurencji. Z raportu przekazanego organowi nadzorczemu wynikało jednak, że część komunikacji odbywała się poza Europejskim Obszarem Gospodarczym.
Ustalenia UODO
Prezes UODO uznał, że administrator dopuścił do naruszenia przepisów, nie wdrażając odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Wskazano również, że niewłaściwie zweryfikował podmiot przetwarzający pod kątem zapewnienia odpowiednich zabezpieczeń.
Z analizy decyzji wynika, że naruszenie było konsekwencją systemowych zaniedbań na kilku poziomach – kluczowy był brak rzetelnej analizy ryzyka, który przełożył się na niewdrożenie adekwatnych środków technicznych i organizacyjnych oraz brak ich późniejszego testowania i weryfikacji. W efekcie uczestnicy procesu – zarówno administrator, jak i podmioty przetwarzające – nie sprawowali skutecznego nadzoru nad sposobem przetwarzania danych przez handlowców działających w terenie.
UODO podkreślił, że choć formalnie funkcjonowały pewne środki bezpieczeństwa i procedury, były one zbyt ogólne i niedostosowane do specyfiki sprzedaży door-to-door, przez co nie zapobiegły tworzeniu nieautoryzowanych „usprawnień”, takich jak korzystanie z komunikatora. Co istotne, naruszenie nie zostało wykryte dzięki działaniom kontrolnym, lecz przypadkowo – na podstawie informacji od byłego pracownika, co dodatkowo uwidacznia nieskuteczność nadzoru.
Organ zwrócił też uwagę na niewystarczającą weryfikację podmiotów przetwarzających przez administratora – opieranie się głównie na doświadczeniu, certyfikacji i wcześniejszej współpracy nie zastępuje obowiązku stałego monitorowania i audytowania. Jednocześnie podkreślono, że największą odpowiedzialność ponosił sub-agent, który samodzielnie wprowadził nieautoryzowane narzędzie, nie informując o tym innych podmiotów i nie analizując ryzyka, a następnie nie przyjmował odpowiedzialności za skutki swoich działań.
Kara od UODO
W przypadku jednego z podmiotów przetwarzających, który dopuścił korzystanie z komunikatora i nie wdrożył właściwych środków ochrony danych, organ nadzorczy nałożył upomnienie oraz karę administracyjną w wysokości 10 145 zł.
W toku postępowania stwierdzono także niespójności między wyjaśnieniami administratora i tego podmiotu. Jak wskazał organ, podmiot przetwarzający podejmował próby umniejszenia swojej roli oraz przeniesienia odpowiedzialności za nieprawidłowości na inne podmioty.
Zakaz door-to-door w segmencie prosumentów
Informowaliśmy wielokrotnie, że od 3 lipca 2021 r. obowiązuje zakaz sprzedaży w modelu door-to-door w przypadku gospodarstw domowych. Oznacza to, że przedsiębiorstwa energetyczne i gazowe nie mogą zawierać od wielu lat umów poza lokalem firmy z odbiorcami w gospodarstwach domowych (np. podczas wizyty przedstawiciela w domu odbiorcy). O tym, na co zwrócić uwagę podczas podpisywania umowy – pisaliśmy w artykule: Polacy nie boją się zmieniać sprzedawcy prądu. Nowe dane.
Patrycja Rapacka, redaktor Gramwzielone.pl
patrycja.rapacka@gramwzielone.pl
© Materiał chroniony prawem autorskim. Wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy E-Magazyny Sp. z o.o.
