Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/24

Kraj:

Hiszpania

Data wydania decyzji:

22.12.2025 r.

Podmiot kontrolowany:

CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U.

Wysokość kary (EUR):

500.000

Podstawa prawna naruszenia

Art. 25 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Do naruszenia doszło wskutek kombinacji ludzkiego błędu oraz braku procedur systemowych. Pracownik obsługujący czat, przyjmując zgłoszenia od dwóch klientów jednocześnie, pomylił adresy e‑mail i przypisał adres skarżącego do konta innego klienta. Niewystarczające procedury weryfikacji i brak narzędzi do wykrywania duplikatów spowodowały, że pomyłka została niezauważona i wysłano wiadomości z danymi dłużnika do osoby nieupoważnionej. Błąd ujawnił szerszy problem, jakim był brak przeprowadzenia analizy ryzyka, brać ograniczenia obsługi do jednego klienta na sesję i brak wdrożenia środków zapobiegawczych. Hiszpański organ nadzorczy ocenił to jako systemowe naruszenie zasad ochrony danych.

 

Opis wydarzeń

  1. Pierwszy błąd komunikacyjny: 2 sierpnia 2023 r. skarżący (klient CURENERGÍA) otrzymał e‑mail informujący o zadłużeniu innego konsumenta. Wiadomość zawierała pełne imię i nazwisko dłużnika, kwotę zaległości, numer referencyjny umowy oraz numer i datę faktury.
  2. Kolejne wiadomości i reklamacja: 6 września 2023 r. skarżący otrzymał drugi e‑mail, tym razem z adresu kontaktowego powiązanego z Grupą Iberdrola. Poinformowano w nim o rozwiązaniu incydentu dotyczącego nieokreślonego użytkownika, w tym adresie i numerze referencyjnym sprawy. Skarżący nabrał przekonania, że doszło do pomyłki i 24 września 2023 r. skierował prośbę o wyjaśnienie do kanału obsługi klienta. 28 września złożył skargę do Inspektora Ochrony Danych Iberdrola (spółka matka CURENERGÍA). E‑mail do inspektora zawierał opis incydentów i prośbę o usunięcie jego adresu z błędnej karty klienta.
  3. Reakcja spółki: Według wyjaśnień złożonych w postępowaniu, spółka twierdziła, że incydent był jednostkowym błędem pracownika podmiotu współpracującego, który jednocześnie obsługiwał dwóch klientów i omyłkowo skopiował adres skarżącego do innego profilu. Spółka podkreśliła, że jeszcze przed wszczęciem postępowania przez hiszpański organ nadzorczy, 6 listopada 2023 r. poinformowała skarżącego o usunięciu jego adresu e‑mail z błędnej karty klienta i potwierdziła, że błąd został skorygowany.
  4. Złożenie skargi i wstępna kwalifikacja: Formalna skarga do hiszpańskiego organu nadzorczego wpłynęła 28 września 2023 r. W etapie wstępnym organ nadzorczy zakwalifikował zdarzenie jako potencjalne naruszenie zasady prawidłowości danych.
  5. Przekazanie sprawy i odpowiedź spółki: Hiszpański organ nadzorczy skierował do CURENERGÍA żądanie wyjaśnień, m.in. w zakresie procedur aktualizacji danych i zarządzania kanałem czatu oraz mechanizmów wykrywania błędów. W maju 2024 r. spółka złożyła odpowiedź, wskazując, że doszło do jednorazowej pomyłki człowieka, która została naprawiona przed otrzymaniem pisma od organu nadzorczego, a zatem nie wymagała opinii inspektora ochrony danych. Argumentowała również, że skarżący wniósł skargę w tym samym dniu, w którym po raz pierwszy zgłosił problem spółce, przez co rzekomo uniemożliwił jej reakcję.
  6. Analiza organu nadzorczego i zmiana kwalifikacji: W dalszym toku postępowania hiszpański organ nadzorczy zażądał przedstawienia procedur wykrywania i korygowania błędów oraz instrukcji obsługi czatu. Organ nadzorczy ustalił, że spółka umożliwiała pracownikom obsługę kilku klientów równocześnie, co generowało wysokie ryzyko błędów. Co więcej spółka nie posiadała systemu, który automatycznie sprawdzałby, czy dany adres e‑mail jest przypisany do właściwego konta. Według hiszpańskiego organu nadzorczego brakowało również procedur weryfikacji danych i notyfikacji naruszeń. Z tego powodu organ zmienił kwalifikację naruszenia uznając, że problem ma charakter systemowy i odzwierciedla brak odpowiednich mechanizmów kontroli.
  7. Wysokość kary: Przy wymiarze kary hiszpański organ nadzorczy brał pod uwagę wielkość przedsiębiorstwa oraz fakt, że w 2023 r. w kanale czatu przeprowadzono ponad 15 tys. interakcji. Organ nadzorczy uznał, że skala działalności i potencjalna liczba osób, których dane mogłyby zostać ujawnione wskutek podobnych błędów, znacznie zwiększają wagę naruszenia. Mimo iż spółka zlikwidowała kanał czatu i usunęła błędne dane, hiszpański organ nadzorczy uwzględnił te działania jedynie jako okoliczność łagodzącą, nie eliminując kary. Ostatecznie nałożono karę 500 000 EUR oraz nakazano spółce wdrożenie odpowiednich środków zapobiegawczych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Projektowanie i konfiguracja systemów: Systemy obsługi klienta muszą od początku być przygotowane na unikanie błędów. Wbudowane mechanizmy weryfikacji adresów i wykrywania duplikatów oraz blokada obsługi wielu klientów jednocześnie ograniczą ryzyko, a odpowiednie logi pomogą wykazać zgodność z art. 24 i 25 RODO.
  2. Organizacja pracy i szkolenia: Pracownicy powinni obsługiwać naraz tylko jedno zgłoszenie. Warto wyznaczyć odpowiedzialnych za weryfikację danych oraz regularnie szkolić personel z zasad minimalizacji i procedur zgłaszania incydentów.
  3. Procedury weryfikacji i zarządzanie incydentami: Przed zapisaniem danych kontaktowych należy je potwierdzić (double opt‑in) i ustawić alerty przy przypisaniu tego samego adresu do kilku kont. Konieczne są też okresowe audyty i jasne instrukcje zgłaszania naruszeń do organu nadzorczego.
  4. Umowy z podwykonawcami: Przy outsourcingu usług należy zawrzeć umowę powierzenia zgodną z art. 28 RODO, obejmującą wymogi bezpieczeństwa, raportowania incydentów i audytu. Regularna kontrola partnerów oraz sprawdzanie certyfikacji (np. ISO 27001) zmniejszają ryzyko.
  5. Minimalizacja danych w komunikacji: W wiadomościach ujawniaj tylko niezbędne informacje, np. numer umowy zamiast pełnych nazwisk, aby zminimalizować skutki pomyłek.
  6. Stosowanie wytycznych nadzorczych: Wytyczne organów nadzorczych zalecają analizę ryzyka, dokumentowanie środków technicznych i organizacyjnych oraz prowadzenie rejestrów czynności. Dobrą praktyką jest też ocena skutków dla ochrony danych (DPIA) i testowanie nowych systemów.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO