Prezes UODO Mirosław Wróblewski zwrócił uwagę firmie Energa-Obrót, ponieważ przedstawiciele handlowi wysyłali za pomocą komunikatora WhatsApp między innymi kopie umów z klientami spółki – podał urząd. Wróblewski nałożył również grzywnę w kwocie około 10 tys. zł na podmiot współpracujący ze spółką, który niewłaściwie przetwarzał dane osobowe.
Jak zaznaczył w poniedziałek Urząd Ochrony Danych Osobowych (UODO), po przeprowadzeniu procedury dotyczącej naruszenia przepisów o ochronie danych osobowych prezes Wróblewski stwierdził między innymi niedopełnienie zobowiązań przez firmę Energa-Obrót. W ocenie Wróblewskiego, spółka jako administrator danych nie zastosowała właściwych środków technicznych i organizacyjnych gwarantujących bezpieczeństwo przetwarzania danych osobowych. Dodatkowo, nie dokonała ona odpowiedniej weryfikacji podmiotu przetwarzającego, czy zapewnia on wystarczające zabezpieczenia wdrożenia wspomnianych wcześniej środków.
Niezgodności wykryto także po stronie podmiotów, którym administrator powierzył przetwarzanie danych osobowych – poinformował urząd.
Sytuacja miała miejsce w 2021 roku, podczas pandemii, gdy przedstawiciele partnerów handlowych firmy Energa-Obrót odwiedzali klientów w ich domach, oferując im między innymi aneksy do istniejących umów – podano. Nieprawidłowości zgłosiła do UODO sama spółka, odkrywając, że były przedstawiciel handlowy wraz ze swoimi współpracownikami przez wiele miesięcy używał do korespondencji aplikacji WhatsApp. Na prywatnym urządzeniu mobilnym handlowca, oprócz poleceń służbowych, znaleziono skany i fotografie umów zawartych z przynajmniej 15 klientami Energi-Obrót.
Administrator przeprowadził wewnętrzne dochodzenie, w jego wyniku stwierdzono naruszenie ochrony danych osobowych. Tego samego dnia wysłano zgłoszenie do UODO. Zawarto w nim między innymi informację, że komunikacja za pośrednictwem WhatsAppa odbywała się częściowo poza Europejskim Obszarem Gospodarczym.
Według Prezesa UODO, nieautoryzowana przez administratora aplikacja była przez długi czas narzędziem przetwarzania danych osobowych, co jest sprzeczne z prawem. W konsekwencji firma Energa-Obrót otrzymała oficjalne upomnienie, a podmiot przetwarzający dane – upomnienie oraz karę administracyjną w wysokości 10 145 zł. Wspomniany podmiot w toku postępowania przed UODO starał się minimalizować swoją rolę w procesie przetwarzania danych osobowych. Próbował także zrzucać odpowiedzialność za nieprawidłowości na inne osoby – zaznaczył urząd.
(Planujemy dalszy rozwój tematu). (PAP)
mbl/ mmu/