Urząd Ochrony Danych Osobowych rozważy przeprowadzenie postępowania wyjaśniającego dotyczącego ujawnionych przez nas praktyk stosowanych przez jednego z partnerów biznesowych spółki Energa-Obrót. Chodzi o zbadanie sprawy pod kątem ewentualnych nieprawidłowości w procesie przetwarzania danych osobowych. W zeszłym tygodniu opisaliśmy kulisy tak zwanej sprzedaży door2door prowadzonej przez zewnętrznego partnera Energi-Obrót. Przedstawiciele handlowi przyznali reporterowi RMF FM, że ukrywali przed klientami informacje o dodatkowej opłacie.
Nierzetelne informowanie lub celowe ukrywanie przed klientami istotnych informacji związanych ze szczegółami ofert to główny, ale nie jedyny wątek kontrowersyjnych praktyk stosowanych przez akwizytorów, opisanych przez nas w artykule:
Osobnym wątkiem jest to, jak traktowane były dane osobowe odwiedzanych w domach ludzi. W opisanej przez nas grupie sprzedażowej funkcjonował nietypowy mechanizm przekazywania i wymiany danych osobowych: Gdy dany akwizytor wszedł do mieszkania jakiegoś klienta, wpisywał jego adres w grupie w jednym z popularnych komunikatorów. W odpowiedzi otrzymywał screen (zdjęcie) z systemu komputerowego, na którym widoczne były różnorakie dane osobowe klienta: imię, nazwisko, PESEL, adres, numer telefonu, często adres e-mail.
Dane te były dostępne dla wszystkich, ponad 20 członków grupy sprzedażowej, a więc w większości dla osób, które z klientem, którego dotyczyło konkretne zapytanie, nie miały nic wspólnego. Codziennie w grupie w ten sposób publikowane były dane osobowe kilkuset klientów. Co więcej, pracownicy, którzy kończyli pracę w tej grupie sprzedażowej, nadal mieli pełny dostęp do historii rozmowy, w tym przekazywanych w niej w postaci screen’ów danych osobowych.
Z naszych nieoficjalnych informacji wynika, że pod koniec marca - gdy w Enerdze trwało już postępowanie wyjaśniające wszczęte po informacjach od jednej z przedstawicielek handlowych - szef omawianej grupy poinformował pracowników, że taka forma wymiany danych była niezgodna z polityką firmy i poprosił ich o usunięcie grupy ze swoich telefonów.
W odpowiedzi na pytania RMF FM Urząd Ochrony Danych Osobowych przyznał nam, że sprawę zna jedynie z mediów. Nie znając szczegółowych informacji o niej, można jedynie wskazać, że każdy administrator danych ma obowiązek zapewnić bezpieczeństwo przetwarzanym prze niego danym. Musi też zapewnić ich ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem - informuje RMF FM Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, wskazując przy tym - na poziomie ogólności - kilka przepisów RODO, które mogą dotyczyć całej sprawy. Jednocześnie informuję, że UODO rozważy przeprowadzenie postępowania wyjaśniającego pod kątem zbadania ewentualnych nieprawidłowości w procesie przetwarzania danych osobowych - informuje Sanocki.
Co ważne, wewnętrzne postępowanie wyjaśniające trwające w spółce Energa-Obrót, dotyczy także kwestii przetwarzania danych osobowych.
Zarówno pracowników spółki, jak również jej współpracowników i partnerów, obowiązują opracowane przez spółkę i oparte na obowiązujących przepisach prawa standardy ochrony danych osobowych. Od wszystkich wymagane jest ich pełne respektowanie i przestrzeganie. Opisaną przez Pana sytuację wyjaśnia już działający w spółce Inspektor Ochrony Danych Osobowych, a w razie potwierdzenia przez niego nieprawidłowości podjęte zostaną odpowiednie działania. Należy podkreślić, że system stosowany w spółce i zawierający dane osobowe dzięki stosowanemu w nim oprogramowaniu ogranicza możliwość ich kopiowania i pozwala na monitorowanie aktywności w bazach. Żaden system nie jest jednak doskonały i nie zabezpieczy przed nadużyciami, dlatego tak ważna jest też odpowiedzialność wszystkich osób posiadających dostęp do danych - odpowiadał RMF FM na pytania w tej sprawie Krzysztof Kopeć, dyrektor biura prasowego Grupy Energa.
Poniżej pełna treść przesłanego nam przez Adama Sanockiego pisma, które otrzymaliśmy pytając o to, czy Prezes Urzędu Ochrony Danych Osobowych dostrzega konieczność przeprowadzenia kontroli lub postępowania wyjaśniające w sprawie opublikowanych przez nas informacji.
Szanowny Panie Redaktorze,
w odpowiedzi na Pan a e-mail informuję, że interesującą Pana sprawę Urząd Ochrony Danych Osobowych zna jedynie z doniesień medialnych.
Nie znając szczegółowych informacji o niej, można jedynie wskazać, że każdy administrator danych ma obowiązek zapewnić bezpieczeństwo przetwarzanym prze niego danym. Musi też zapewnić ich ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (art. 5 ust. 1 lit. f RODO).
Warto przy tym podkreślić, że podmioty, które wykorzystują systemy informatyczne służące do przetwarzania danych, powinny z należytą starannością weryfikować osoby/podmioty uprawnione do korzystania z tego systemu oraz zakres nadawanych im uprawnień dostępu do danych przetwarzanych przy jego użyciu. Ponadto administrator musi stosować się do innych zasad określonych w art. 5 RODO, a więc:
· zgodności z prawem,
· ograniczenia celu - która nakazuje, by dane były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
· minimalizacji danych - zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
· prawidłowości - co oznacza, że muszą być prawidłowe i w razie potrzeby uaktualniane,
· ograniczenia przechowywania - przesądzająca, że dane powinny być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania; dane można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne mające na celu ochronę praw i wolności osób (pkt e).
Przepisy RODO przesądzają ponadto, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 RODO). Ponadto art. 32 ust. 4 RODO zobowiązuje administratora oraz podmiot przetwarzający do podejmowania działań "w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego". Działania te mogą być realizowane poprzez wydawanie upoważnień do przetwarzania danych zarówno przez administratora, jak i podmiot przetwarzający.
Zatem przepisy RODO wskazują, że dane osobowe muszą być odpowiednio zabezpieczone przed ich nieuprawnionym ujawnieniem osobom postronnym, w tym również nieuprawnionym pracownikom administratora danych.
Jednocześnie informuję, że UODO rozważy przeprowadzenie postępowania wyjaśniającego w interesującej Pana sprawie pod kątem zbadania ewentualnych nieprawidłowości w procesie przetwarzania danych osobowych.