Nieautoryzowany komunikator skończył się naruszeniem ochrony danych. Decyzja UODO

Biuro DLS

Nie trzeba cyberataku, żeby doszło do naruszenia ochrony danych osobowych. Do wydania decyzji przez Prezesa UODO wystarczyło korzystanie przez handlowców z prywatnych smartfonów i popularnego komunikatora do przesyłania zdjęć oraz skanów umów klientów. Opublikowana decyzja DKN.5131.7.2022, pokazują, że odpowiedzialność za taki incydent może objąć nie tylko administratora, ale cały łańcuch podmiotów zaangażowanych w przetwarzanie danych.

Stan faktyczny – co się wydarzyło

Sprawa dotyczyła modelu sprzedaży bezpośredniej energii, prowadzonej przez sieć agentów i podagenta działających na rzecz spółki będącej administratorem danych. Sama praktyka korzystania z nieautoryzowanego komunikatora zaczęła się już w lipcu 2020 r., a ujawniono ją dopiero w marcu 2021 r., gdy były pracownik skontaktował się ze spółką i pokazał zrzut ekranu z grupowej rozmowy handlowców.

W toku ustaleń okazało się, że handlowcy używali aplikacji do przesyłania wiadomości na prywatnych smartfonach, aby wymieniać zdjęcia, skany umów i dane potrzebne do przygotowania dokumentów u klienta. Zgłoszenie naruszenia zostało dokonane 13 kwietnia 2021 r., a ustalenia spółki wskazywały, że incydent dotyczył co najmniej 15 osób. Opis decyzji wskazuje też, że chodziło m.in. o imiona i nazwiska, adresy, numery PESEL, adresy e-mail, numery telefonów, numery klientów i numery punktów przyłączenia.

Kogo ocenił UODO

To nie była sprawa ograniczona do jednej organizacji. Prezes UODO ocenił cały łańcuch przetwarzania: administratora, dwóch agentów jako podmioty przetwarzające oraz podagenta jako dalszy podmiot przetwarzający w rozumieniu art. 28 ust. 4 RODO.

Ta konstrukcja ma duże znaczenie praktyczne. Organ wyraźnie pokazał, że bezpieczeństwo danych nie kończy się na podpisaniu umowy powierzenia, bo każdy uczestnik łańcucha ma własne obowiązki w zakresie środków technicznych i organizacyjnych.

Co UODO uznał za problem

Sednem sprawy nie było wyłącznie samo użycie komunikatora. UODO powiązał naruszenie z niewdrożeniem odpowiednich środków technicznych i organizacyjnych, brakiem należytej weryfikacji podmiotów przetwarzających oraz naruszeniem zasad poufności i rozliczalności.

W opisie decyzji wskazano, że chodziło o samowolne i nieautoryzowane wykorzystywanie popularnego komunikatora internetowego na prywatnych smartfonach do przesyłania zdjęć, skanów umów i danych klientów. Organ zarzucił administratorowi m.in. brak należytej weryfikacji przetwarzających oraz niewystarczające przewidzenie ryzyka przetwarzania „w cieniu”, a agentom i podagentowi przypomniał, że nie mogą zasłaniać się tym, iż systemy dostarczał administrator.

Wynik sprawy i sankcje

Decyzja DKN.5131.7.2022 ma status nieprawomocnej. Z metryki sprawy wynika, że administrator, dwaj agenci i subagent otrzymali upomnienia, a na subagenta dodatkowo nałożono karę administracyjną za naruszenia związane z bezpieczeństwem przetwarzania. Kwota tej kary wynosi 10 145 zł, czyli około 2 415 euro. To ważny sygnał praktyczny: organ rozróżnił odpowiedzialność uczestników łańcucha i uznał, że najsurowiej należy ocenić ten podmiot, u którego doszło do faktycznego bezprawnego przetwarzania danych.

Dlaczego ta decyzja jest ważna

Ta sprawa dobrze pokazuje, że naruszenie danych może zacząć się od prostego operacyjnego obejścia, które z perspektywy pracownika wydaje się wygodne i szybkie. Z perspektywy RODO problemem nie jest jednak tylko zachowanie pojedynczego handlowca, ale to, czy organizacja umiała przewidzieć taki scenariusz, ograniczyć ryzyko i realnie kontrolować swoich partnerów.

To także ważna lekcja dla firm działających w modelu agencyjnym, franczyzowym albo door-to-door. Jeżeli dane klientów krążą między wieloma podmiotami, formalne zakazy i oświadczenia o poufności nie wystarczą, jeśli nie idą za nimi praktyczne mechanizmy kontroli.

Zakończenie

Ta sprawa przypomina, że bezpieczeństwo danych osobowych zaczyna się od codziennych narzędzi pracy i rzeczywistego nadzoru nad tym, jak są używane. Pełna treść komunikatu UODO jest dostępna tutaj: Wykorzystanie nieautoryzowanych narzędzi przetwarzania danych powodem naruszenia, a decyzję można odnaleźć w bazie orzeczeń UODO z sygnaturą DKN.5131.7.2022.