Skany umów na WhatsAppie. UODO bezlitosne dla partnera giganta
Wysyłanie zdjęć umów z klientami przez popularny komunikator to fatalny pomysł. Przekonał się o tym partner biznesowy znanej spółki energetycznej.
Prywatny smartfon pełen wrażliwych danych
Sprawa sięga 2021 roku. Trwała wtedy pandemia, a przedstawiciele handlowi działający na rzecz spółki Energa-Obrót odwiedzali klientów w domach. Proponowali im między innymi aneksy do umów w ramach sprzedaży door-to-door. Wszystko wyszło na jaw przez przypadek, gdy jeden z byłych handlowców zgłosił się bezpośrednio do firmy Energa-Obrót. Prosił o pomoc w odzyskaniu zaległych pieniędzy od swojego szefa.
Podczas rozmowy pokazał swój prywatny telefon. Okazało się, że sprzedawcy używali aplikacji WhatsApp do komunikacji służbowej. Na smartfonie znajdowały się nie tylko polecenia od szefostwa. W grupowych konwersacjach przesyłano też zdjęcia i skany umów zawartych z klientami. Energa-Obrót od razu wszczęła wewnętrzne dochodzenie i w trybie pilnym zgłosiła naruszenie do prezesa UODO.
Tłumaczenia partnera nie przekonały urzędu
Nieautoryzowany komunikator był używany w pracy przez wiele miesięcy. Wiadomo na pewno, że ten wyciek dotknął co najmniej 15 osób. Partner biznesowy próbował się gęsto tłumaczyć w trakcie postępowania. Twierdził, że WhatsApp miał tylko usprawnić kontakt z handlowcami w trudnych czasach pandemii. Podwykonawca argumentował też, że pracownicy mieli podpisane umowy o poufności i zakazie konkurencji.
Te wyjaśnienia w żaden sposób nie wystarczyły. Dodatkowym problemem był fakt, że dane z WhatsAppa wędrowały częściowo poza Europejski Obszar Gospodarczy. Prezes UODO, Mirosław Wróblewski, wziął sprawę pod lupę i stwierdził szereg nieprawidłowości. Uznał, że Energa-Obrót jako administrator danych, nie wdrożyła odpowiednich zabezpieczeń. Spółka nie sprawdziła też dokładnie swojego podwykonawcy pod kątem bezpieczeństwa.
Surowe kary za brak procedur
Urząd Ochrony Danych Osobowych nałożył oficjalne upomnienia zarówno na spółkę Energa-Obrót, jak i na podmioty przetwarzające dane klientów. Jeden z partnerów biznesowych, który wprost pozwolił pracownikom na używanie WhatsAppa, otrzymał też karę finansową w wysokości 10145 zł.
W trakcie postępowania wyszły na jaw sprzeczności w składanych zeznaniach. Ukarany podmiot próbował mocno umniejszać swoją rolę w całym procesie. Chciał zrzucić odpowiedzialność za błędy na inne osoby. Urząd nie dał się na to nabrać i surowo ocenił brak podstawowej ochrony danych osobowych.
