Służbowe korzystanie z prywatnych komunikatorów to dla wielu firm standard, który właśnie okazał się kosztownym błędem. Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył upomnienia oraz karę finansową w związku z naruszeniem RODO, do którego doszło w sieci sprzedaży spółki Energa-Obrót. Sprawa dotyczy instalowania nieautoryzowanego oprogramowania do przesyłania wrażliwych dokumentów klientów, co doprowadziło do wypłynięcia danych poza Europę.
Wyrok za brak procedur i nielegalny transfer danych
Decyzja organu nadzorczego bezlitośnie obnażyła procedury bezpieczeństwa stosowane przez podmioty zaangażowane w sprawę. Prezes UODO stwierdził, że spółka Energa-Obrót jako administrator danych osobowych nie wdrożyła odpowiednich środków technicznych i organizacyjnych, a także całkowicie zawiodła na polu weryfikacji swojego partnera biznesowego. Za brak realnego nadzoru nad tym, jak podwykonawcy traktują dane klientów, na spółkę nałożono oficjalne upomnienie.
O wiele gorzej skończyło się to jednak dla samego pośrednika, którego przedstawiciele handlowi wdrożyli WhatsAppa jako codzienne narzędzie pracy w terenie. Firma ta otrzymała upomnienie oraz administracyjną karę pieniężną w wysokości ponad 10 tysięcy złotych. Podczas kontroli wyszło na jaw, że ukarany podmiot za wszelką cenę próbował umniejszać swoją odpowiedzialność w procesie. Mataczył w wyjaśnieniach i bezskutecznie próbował zrzucić całą winę za nieprawidłowości na ciężkie realia rynkowe.
Sprawa wyszła na jaw przez przypadek
Cała afera ujrzała światło dzienne w dość kuriozalny sposób. Wszystko zaczęło się od konfliktu finansowego. Były pracownik nie mógł doprosić się od swojego przełożonego wypłaty zaległego wynagrodzenia. Zdesperowany mężczyzna zgłosił się po pomoc bezpośrednio do centrali Energi-Obrót. Jako dowód swojej rzetelnej pracy pokazał zrzuty ekranu z prywatnego telefonu. Wtedy odkryto problem. Na czacie grupowym obok poleceń służbowych znajdowały się setki zdjęć i skanów umów z pełnymi danymi polskich klientów.
Pośrednik bronił się tym, że w czasie pandemii komunikator miał jedynie ułatwiać pracę mobilną przy sprzedaży door2door. Jednak urząd był nieugięty. Najbardziej obciążający okazał się bowiem fakt, że infrastruktura amerykańskiej aplikacji przesyłała wrażliwe materiały częściowo poza Europejski Obszar Gospodarczy. To ostatecznie przypieczętowało winę i doprowadziło do interwencji urzędników.
Ta sprawa to jasny komunikat dla całego rynku. Używanie prywatnych komunikatorów do przesyłania dokumentów to prosta droga do złamania prawa i wysokich kar finansowych.
Źródło tekstu: UODO / Zdjęcie otwierające: unsplash (@amanz)