Kara UODO za przetwarzanie danych klientów przez WhatsAppa

Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu postępowania dotyczącego naruszenia zgłoszonego przez spółkę Energa-Obrót, zastosował środki wobec administratora danych oraz podmiotów przetwarzających. Administrator i procesorzy otrzymali upomnienia, a na jeden z podmiotów przetwarzających nałożono również administracyjną karę pieniężną w wysokości 10 145 zł.

Sprawa dotyczyła wykorzystywania przez przedstawicieli handlowych działających w sieci sprzedaży door2door nieautoryzowanych narzędzi komunikacji. Według ustaleń organu nadzorczego, aplikacja WhatsApp była używana do komunikacji związanej z realizacją projektu sprzedażowego, a na prywatnym telefonie byłego przedstawiciela handlowego znajdowały się m.in. skany i zdjęcia umów zawartych z klientami spółki.

Z komunikatu UODO wynika, że sprawa sięga 2021 r., czyli okresu pandemii, kiedy przedstawiciele partnerów biznesowych spółki Energa-Obrót odwiedzali klientów w domach i proponowali im m.in. aneksy do dotychczasowych umów.

Impulsem do zgłoszenia naruszenia była rozmowa pracowników spółki z byłym przedstawicielem handlowym, który zwrócił się o pomoc w wyegzekwowaniu należności od byłego pracodawcy. W trakcie rozmowy ujawniono, że zarówno on, jak i inni współpracownicy korzystali do komunikacji z aplikacji WhatsApp. Na prywatnym telefonie znajdowały się polecenia służbowe oraz dokumenty zawierające dane klientów. Zrzut ekranu telefonu wskazywał również, że konwersacje miały charakter grupowy.

Administrator przeprowadził wewnętrzne postępowanie wyjaśniające i stwierdził naruszenie ochrony danych osobowych. Zgłoszenie do Prezesa UODO zostało dokonane tego samego dnia. W ustaleniach administrator wskazał, że naruszenie dotyczyło z pewnością 15 osób, których dane osobowe były przetwarzane przez pracowników przy realizacji projektu sprzedażowego.

Prezes UODO ustalił, że administrator dopuścił do naruszenia przepisów o ochronie danych osobowych przez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych.

Organ wskazał również na niewłaściwą weryfikację podmiotu przetwarzającego. Administrator powinien upewnić się, czy procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Sama umowa powierzenia lub formalne zobowiązania do poufności nie są wystarczające, jeżeli w praktyce dane są przetwarzane z wykorzystaniem narzędzi, których administrator nie zatwierdził i nad którymi nie sprawuje realnej kontroli.

Z perspektywy IOD istotne jest, aby w organizacji regularnie sprawdzać, czy narzędzia wskazane w dokumentacji rzeczywiście odpowiadają narzędziom używanym przez pracowników, współpracowników i partnerów biznesowych. Dotyczy to zwłaszcza procesów sprzedażowych, obsługi klienta, pracy zdalnej oraz komunikacji poza siedzibą organizacji.

Nieprawidłowości zostały stwierdzone także po stronie podmiotów przetwarzających. Jeden z procesorów dopuścił korzystanie z komunikatora przez pracowników i nie wdrożył przy tym odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych osobowych.

W toku postępowania UODO wykazano również niespójności między wyjaśnieniami administratora a wyjaśnieniami podmiotu przetwarzającego. Według organu procesor podejmował próby umniejszania swojej roli w procesie przetwarzania danych osobowych oraz przenoszenia odpowiedzialności za nieprawidłowości na inne osoby.

Decyzja UODO przypomina, że podmiot przetwarzający nie jest wyłącznie biernym wykonawcą poleceń administratora. Procesor ma własne obowiązki wynikające z RODO, w szczególności w zakresie zapewnienia bezpieczeństwa danych, stosowania odpowiednich środków technicznych i organizacyjnych oraz przetwarzania danych zgodnie z udokumentowanymi poleceniami administratora.

W sprawie szczególnie istotne było to, że nieautoryzowana aplikacja przez wiele miesięcy pełniła funkcję narzędzia przetwarzania danych osobowych. Partner biznesowy wyjaśniał, że komunikator miał charakter pomocniczy i służył usprawnieniu komunikacji między handlowcami w warunkach pandemii.

Takie uzasadnienie nie zwalnia jednak administratora i procesora z obowiązków w zakresie ochrony danych osobowych. Jeżeli za pomocą komunikatora przekazywane są zdjęcia dokumentów, skany umów, dane klientów, polecenia dotyczące obsługi spraw lub inne informacje pozwalające identyfikować osoby fizyczne, to narzędzie to staje się elementem środowiska przetwarzania danych.

IOD powinien zatem zweryfikować, czy w organizacji funkcjonują jasne zasady korzystania z komunikatorów, prywatnych telefonów, aplikacji chmurowych i narzędzi do przesyłania plików. Ważne jest również sprawdzenie, czy pracownicy i współpracownicy wiedzą, które narzędzia są dopuszczone, a które zakazane w procesach obejmujących dane osobowe.

Komunikat UODO podkreśla znaczenie właściwej weryfikacji podmiotów przetwarzających. Administrator powinien nie tylko zawrzeć umowę powierzenia, ale także ocenić, czy procesor faktycznie zapewnia wystarczające gwarancje ochrony danych.

W praktyce oznacza to konieczność badania procedur, zasad bezpieczeństwa, stosowanych narzędzi, sposobów nadawania upoważnień, wykorzystywania urządzeń prywatnych oraz mechanizmów kontroli po stronie procesora. W przypadku współpracy z siecią partnerów biznesowych, agentów lub przedstawicieli terenowych ryzyko korzystania z nieformalnych kanałów komunikacji jest szczególnie wysokie.

Należy zwrócić uwagę, czy organizacja przewiduje audyty procesorów, ankiety bezpieczeństwa, obowiązek zgłaszania zmian w narzędziach, procedury zatwierdzania aplikacji oraz sankcje za korzystanie z rozwiązań nieautoryzowanych.

Administrator przekazał organowi nadzorczemu raport oceny wagi naruszenia, z którego wynikało, że komunikacja w ramach aplikacji mogła odbywać się częściowo poza Europejskim Obszarem Gospodarczym.

Ten element sprawy jest szczególnie ważny dla IOD, ponieważ korzystanie z popularnych aplikacji komunikacyjnych może wiązać się nie tylko z ryzykiem braku kontroli nad dostępem do danych, ale także z kwestią transferów danych do państw trzecich. Jeżeli organizacja nie zatwierdziła danego narzędzia, może nie mieć wiedzy o lokalizacji przetwarzania, podprocesorach, podstawach transferu ani rzeczywistych ustawieniach bezpieczeństwa.

Dlatego ocena narzędzi wykorzystywanych do komunikacji powinna obejmować nie tylko funkcjonalność i wygodę, ale także zgodność z RODO, model przetwarzania, miejsce przetwarzania danych, retencję, szyfrowanie, kontrolę dostępu i możliwość realizacji praw osób, których dane dotyczą.

Komunikat UODO powinien skłonić inspektorów ochrony danych do przeglądu praktyk stosowanych w organizacji i u podmiotów przetwarzających. Szczególnej uwagi wymagają procesy, w których dane osobowe są przetwarzane poza standardowym środowiskiem biurowym, np. w sprzedaży terenowej, obsłudze klienta, pracy mobilnej, marketingu bezpośrednim lub działaniach partnerów zewnętrznych.

Sprawa Energa-Obrót pokazuje, że nieautoryzowane narzędzia przetwarzania danych mogą prowadzić do naruszenia RODO nawet wtedy, gdy ich stosowanie jest tłumaczone względami organizacyjnymi, takimi jak usprawnienie komunikacji w czasie pandemii.

Źródło: UODO, DKN.5131.7.2022