Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski podjął decyzję w sprawie naruszeń ochrony danych osobowych w spółce Energa-Obrót. Handlowcy firmy wykorzystywali aplikację WhatsApp do przesyłania wrażliwych dokumentów klientów, co doprowadziło do upomnienia dla Energa-Obrót oraz kary finansowej dla jej partnera biznesowego. Incydent podkreśla ryzyka związane z używaniem nieautoryzowanych kanałów komunikacji w procesach biznesowych.
Jakie naruszenia stwierdził UODO w Energa-Obrót?
UODO stwierdził, że handlowcy Energa-Obrót przesyłali skany i zdjęcia umów klientów za pośrednictwem aplikacji WhatsApp, używając prywatnych telefonów. Ta praktyka, niezgodna z przepisami RODO, trwała przez wiele miesięcy (dane UODO). Spółka Energa-Obrót, jako administrator danych, nie zapewniła odpowiednich środków technicznych i organizacyjnych, aby zapobiec takim naruszeniom. Brakowało skutecznych procedur i szkoleń, które uniemożliwiłyby pracownikom przetwarzanie danych poza bezpiecznymi systemami firmowymi.
Kogo dotknęły kary UODO i w jakiej wysokości?
Prezes UODO Mirosław Wróblewski udzielił upomnienia spółce Energa-Obrót. Upomnienie dotyczyło niedopełnienia obowiązków w zakresie ochrony danych osobowych. Na współpracujący z Energa-Obrót podmiot, który nieprawidłowo przetwarzał dane osobowe, nałożono administracyjną karę pieniężną w wysokości 10 145 zł (dane UODO). Naruszenie dotyczyło danych co najmniej 15 klientów, których dokumenty były przesyłane w nieautoryzowany sposób.
Jakie ryzyka wiążą się z transferem danych poza EOG?
UODO ustalił, że część komunikacji przez WhatsApp mogła odbywać się poza Europejskim Obszarem Gospodarczym (EOG). Taki transfer danych zwiększa ryzyko naruszenia przepisów o ochronie danych osobowych. Aplikacje takie jak WhatsApp często przechowują dane na serwerach poza EOG, co utrudnia kontrolę nad ich bezpieczeństwem i zgodnością z RODO. W kontekście zaostrzania zasad ochrony danych, w tym nowej dyrektywy wchodzącej w życie 2 sierpnia 2026 roku, która obejmie informacje wpisywane do narzędzi AI, firmy muszą szczególnie dbać o legalność międzynarodowego transferu danych.
Co oznacza decyzja UODO dla innych firm?
Decyzja UODO wobec Energa-Obrót i jej partnera biznesowego stanowi sygnał dla innych przedsiębiorstw. Firmy muszą weryfikować, czy ich pracownicy używają wyłącznie autoryzowanych i bezpiecznych kanałów komunikacji do przetwarzania danych osobowych. Należy wprowadzić jasne procedury, regularne szkolenia oraz monitorować przestrzeganie zasad ochrony danych. Brak odpowiednich środków technicznych i organizacyjnych może skutkować administracyjnymi karami pieniężnymi oraz utratą zaufania klientów.
Przedsiębiorcy powinni zweryfikować wewnętrzne regulaminy oraz systemy komunikacji. Należy upewnić się, że pracownicy nie wykorzystują prywatnych urządzeń ani nieautoryzowanych aplikacji do przesyłania wrażliwych danych. W przeciwnym razie, podobne naruszenia mogą prowadzić do sankcji finansowych i reputacyjnych.
