Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, upomniał spółkę Energa-Obrót za naruszenie zasad ochrony danych osobowych. Przedstawiciele handlowi firmy używali komunikatora WhatsApp do przesyłania skanów umów i innych wrażliwych informacji klientów. Decyzja UODO, wydana 22 czerwca 2026 roku, podkreśla odpowiedzialność administratorów danych za działania podmiotów przetwarzających oraz konieczność wdrożenia odpowiednich zabezpieczeń.
Jakie naruszenia stwierdził UODO w działaniach Energa-Obrót?
UODO stwierdziło, że przedstawiciele handlowi Energa-Obrót używali komunikatora WhatsApp do przesyłania skanów umów i danych klientów, co stanowiło nieautoryzowane przetwarzanie danych. Naruszenie dotyczyło danych co najmniej 15 klientów, których skany umów i inne dokumenty znajdowały się na prywatnych telefonach handlowców (dane UODO). Nieprawidłowości miały miejsce od 2021 roku, kiedy w okresie pandemii handlowcy odwiedzali klientów w domach, oferując aneksy do umów. Używanie nieautoryzowanego komunikatora, takiego jak WhatsApp, do celów służbowych, zwłaszcza w kontekście danych osobowych, stwarza ryzyko przesyłania informacji poza Europejski Obszar Gospodarczy (EOG) bez odpowiednich zabezpieczeń.
Kto ponosi odpowiedzialność i jakie sankcje nałożono?
Energa-Obrót, jako administrator danych, otrzymała upomnienie od Prezesa UODO, Mirosława Wróblewskiego. Kara finansowa w wysokości 10 145 zł została nałożona na partnera biznesowego spółki, który był podmiotem przetwarzającym dane i odpowiadał za działania handlowców (dane UODO). Spółka Energa-Obrót poinformowała, że naruszenie dotyczyło samowolnych działań pracowników subagenta, którzy przesyłali skany umów bez zgody i wiedzy spółki. Decyzja UODO podkreśla, że administrator danych, nawet jeśli korzysta z usług podmiotu przetwarzającego, ponosi odpowiedzialność za zapewnienie zgodności z RODO.
Jakie są konsekwencje dla firm korzystających z zewnętrznych partnerów i nieautoryzowanych narzędzi?
Decyzja UODO podkreśla odpowiedzialność administratorów danych za działania swoich podmiotów przetwarzających oraz ryzyka związane z brakiem kontroli nad używanymi narzędziami komunikacji. Firmy muszą weryfikować, czy ich partnerzy biznesowi stosują odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych. Brak jasnych procedur dotyczących używania komunikatorów i prywatnych urządzeń do celów służbowych może prowadzić do poważnych naruszeń. Chociaż naruszenie dotyczyło stosunkowo niewielkiej liczby klientów (15 osób) w skali działalności Energa-Obrót, jego waga prawna jest wysoka ze względu na brak podstawowych środków technicznych i organizacyjnych (dane UODO). Sprawa ta stanowi przypomnienie o konieczności regularnych audytów i szkoleń dla pracowników oraz partnerów, aby zapobiegać podobnym incydentom. W tym samym okresie Energa-Obrót była również przedmiotem postępowania wszczętego przez Urząd Regulacji Energetyki (URE) w sprawie obowiązku przekazania środków na Fundusz Wypłaty Różnicy Ceny, co wskazuje na szerszą kontrolę nadzorczą nad spółką (dane URE).
Decyzja UODO wobec Energa-Obrót i jej partnera biznesowego stanowi jasny sygnał dla przedsiębiorców. Firmy muszą wdrożyć rygorystyczne polityki dotyczące przetwarzania danych osobowych, zwłaszcza w kontekście współpracy z podmiotami zewnętrznymi i używania narzędzi komunikacji. Brak kontroli nad tymi procesami może skutkować nie tylko karami finansowymi, ale także utratą zaufania klientów i szkodami wizerunkowymi.
