Podstawa prawna naruszenia

Art. 5 ust. 1 lit. d), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Pomyłka zaczęła się od tego, że pracownik Repsol otrzymał zlecenie zmiany właściciela umowy na gaz i prąd. Dane nowego klienta brzmiały prawie identycznie jak dane innej osoby – różniły się tylko kolejnością imion i nazwisk. Zamiast porównać także numer dokumentu tożsamości czy numer rachunku, operator wprowadził nową umowę do profilu innej klientki. W efekcie system uznał, że to właśnie ona jest odbiorcą usług, choć niczego nie zamawiała. O błędzie dowiedziała się ona dopiero po otrzymaniu SMS‑a o kontroli instalacji gazowej i później z rachunków za zużycie cudzej energii.

Opis wydarzeń

1. Błędna zmiana danych abonenta: W styczniu 2022 r. pracownik Repsol zmienił dane właściciela dwóch punktów poboru na nazwisko klientki o podobnych danych osobowych, nie sprawdzając innych identyfikatorów.

2. Odkrycie incydentu przez osobę, której dane dotyczą: Po otrzymaniu wiadomości o planowanej kontroli instalacji gazowej skarżąca zorientowała się, że w systemie istnieje umowa zawarta na jej dane. Podczas kontaktu telefonicznego potwierdzono, że na jej nazwisko i numer identyfikacyjny widnieją umowy na dostawę gazu i prądu.

3. Niewłaściwe fakturowanie: Mimo anulowania kontraktów w marcu 2022 r. firma wysyłała faktury za zużycie energii, co oznaczało, że dane nadal były przetwarzane.

4. Skarga do organu nadzorczego i obrona spółki: W czerwcu 2022 r. klientka złożyła skargę do hiszpańskiego organu nadzorczego. Repsol tłumaczył, że był to pojedynczy błąd ludzki i że firma stosuje odpowiednie środki techniczne oraz organizacyjne.

5. Postępowanie i decyzja: Hiszpański organ nadzorczy wszczął postępowanie w maju 2024 r., a 26 maja 2025 r. nałożyła dwie grzywny: 130 000 € za naruszenie zasady prawidłowości danych oraz 1 250 000 € za niewystarczające środki bezpieczeństwa. Organ uznał, że skutki naruszenia trwały dłużej, bo klientka otrzymywała rachunki jeszcze w lipcu 2022 r., co wykluczało przedawnienie sprawy.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Weryfikuj pełny zestaw danych: Przy zmianie właściciela umowy lub aktualizacji klienta należy sprawdzać nie tylko imię i nazwisko, ale też numer dokumentu tożsamości, adres, numer licznika i dane kontaktowe. Warto wprowadzić automatyczne mechanizmy porównywania danych, aby błędy związane z podobieństwem nazwisk zostały wychwycone we wczesnym etapie.

2. Uwzględniaj ryzyko błędu ludzkiego w ocenie ryzyka: Zgodnie z art. 32 RODO administrator powinien identyfikować i minimalizować zagrożenia wynikające z pracy personelu. Duże podmioty powinny stosować procedury weryfikacji oraz szkolenia, a także systemy walidacji, które alarmują o niespójności danych.

3. Wdrażaj adekwatne środki techniczne i organizacyjne: Systemy informatyczne obsługujące umowy powinny uniemożliwiać rejestrowanie kontraktów na podstawie niezweryfikowanych informacji. Procesy należy dokumentować, by można było wykazać zgodność z zasadą rozliczalności.

4. Prowadź regularne szkolenia i audyty: Personel odpowiedzialny za obsługę klientów powinien być cyklicznie szkolony z zasad ochrony danych. Pracodawca powinien weryfikować, czy stosowane procedury działają, poprzez regularne testy i audyty – rekomendacje takie znajdują się w wytycznych dotyczących bezpieczeństwa przetwarzania.

5. Komunikuj incydenty rzetelnie: W przypadku stwierdzenia błędu administrator powinien poinformować osobę, której dane dotyczą, o zdarzeniu i podjętych działaniach. Transparentność buduje zaufanie i pomaga ograniczyć skutki naruszeń.

6. Stosuj zasadę minimalizacji danych: Należy przetwarzać tylko te dane, które są niezbędne do realizacji celu. Ograniczenie liczby przetwarzanych atrybutów (np. wnioskowanie umów tylko na podstawie numeru klienta zamiast imienia i nazwiska) zmniejsza ryzyko pomyłek.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu