Nie trzeba cyberataku, żeby doszło do naruszenia ochrony danych osobowych. Do wydania decyzji przez Prezesa UODO wystarczyło korzystanie przez handlowców z prywatnych smartfonów i popularnego komunikatora do przesyłania zdjęć oraz skanów umów klientów. Opublikowana decyzja DKN.5131.7.2022, pokazują, że odpowiedzialność za taki incydent może objąć nie tylko administratora, ale cały łańcuch podmiotów zaangażowanych w przetwarzanie danych.
Stan faktyczny – co się wydarzyło
Sprawa dotyczyła modelu sprzedaży bezpośredniej energii, prowadzonej przez sieć agentów i podagenta działających na rzecz spółki będącej administratorem danych. Sama praktyka korzystania z nieautoryzowanego komunikatora zaczęła się już w lipcu 2020 r., a ujawniono ją dopiero w marcu 2021 r., gdy były pracownik skontaktował się ze spółką i pokazał zrzut ekranu z grupowej rozmowy handlowców.
W toku ustaleń okazało się, że handlowcy używali aplikacji do przesyłania wiadomości na prywatnych smartfonach, aby wymieniać zdjęcia, skany umów i dane potrzebne do przygotowania dokumentów u klienta. Zgłoszenie naruszenia zostało dokonane 13 kwietnia 2021 r., a ustalenia spółki wskazywały, że incydent dotyczył co najmniej 15 osób. Opis decyzji wskazuje też, że chodziło m.in. o imiona i nazwiska, adresy, numery PESEL, adresy e-mail, numery telefonów, numery klientów i numery punktów przyłączenia.
Kogo ocenił UODO
To nie była sprawa ograniczona do jednej organizacji. Prezes UODO ocenił cały łańcuch przetwarzania: administratora, dwóch agentów jako podmioty przetwarzające oraz podagenta jako dalszy podmiot przetwarzający w rozumieniu art. 28 ust. 4 RODO.
Ta konstrukcja ma duże znaczenie praktyczne. Organ wyraźnie pokazał, że bezpieczeństwo danych nie kończy się na podpisaniu umowy powierzenia, bo każdy uczestnik łańcucha ma własne obowiązki w zakresie środków technicznych i organizacyjnych.
Co UODO uznał za problem
Sednem sprawy nie było wyłącznie samo użycie komunikatora. UODO powiązał naruszenie z niewdrożeniem odpowiednich środków technicznych i organizacyjnych, brakiem należytej weryfikacji podmiotów przetwarzających oraz naruszeniem zasad poufności i rozliczalności.
W opisie decyzji wskazano, że chodziło o samowolne i nieautoryzowane wykorzystywanie popularnego komunikatora internetowego na prywatnych smartfonach do przesyłania zdjęć, skanów umów i danych klientów. Organ zarzucił administratorowi m.in. brak należytej weryfikacji przetwarzających oraz niewystarczające przewidzenie ryzyka przetwarzania „w cieniu”, a agentom i podagentowi przypomniał, że nie mogą zasłaniać się tym, iż systemy dostarczał administrator.
Wynik sprawy i sankcje
Decyzja DKN.5131.7.2022 ma status nieprawomocnej. Z metryki sprawy wynika, że administrator, dwaj agenci i subagent otrzymali upomnienia, a na subagenta dodatkowo nałożono karę administracyjną za naruszenia związane z bezpieczeństwem przetwarzania. Kwota tej kary wynosi 10 145 zł, czyli około 2 415 euro. To ważny sygnał praktyczny: organ rozróżnił odpowiedzialność uczestników łańcucha i uznał, że najsurowiej należy ocenić ten podmiot, u którego doszło do faktycznego bezprawnego przetwarzania danych.
Dlaczego ta decyzja jest ważna
Ta sprawa dobrze pokazuje, że naruszenie danych może zacząć się od prostego operacyjnego obejścia, które z perspektywy pracownika wydaje się wygodne i szybkie. Z perspektywy RODO problemem nie jest jednak tylko zachowanie pojedynczego handlowca, ale to, czy organizacja umiała przewidzieć taki scenariusz, ograniczyć ryzyko i realnie kontrolować swoich partnerów.
To także ważna lekcja dla firm działających w modelu agencyjnym, franczyzowym albo door-to-door. Jeżeli dane klientów krążą między wieloma podmiotami, formalne zakazy i oświadczenia o poufności nie wystarczą, jeśli nie idą za nimi praktyczne mechanizmy kontroli.
Zakończenie
Ta sprawa przypomina, że bezpieczeństwo danych osobowych zaczyna się od codziennych narzędzi pracy i rzeczywistego nadzoru nad tym, jak są używane. Pełna treść komunikatu UODO jest dostępna tutaj: Wykorzystanie nieautoryzowanych narzędzi przetwarzania danych powodem naruszenia, a decyzję można odnaleźć w bazie orzeczeń UODO z sygnaturą DKN.5131.7.2022.
