Hrvatski teleoperator kažnjen 4,5 miliona eura: Bili ugroženi lični podaci 900.000 korisnika
Hrvatska Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu jednom teleoperatoru, kao vođi obrade, od 4,5 miliona eura zbog povreda Opšte uredbe o zaštiti podataka zbog čega su, tvrde, bili ugroženi lični podaci 900 hiljada korisnika.
Nakon postupka koji je sproveden po službenoj dužnosti, objavio je u petak AZOP na svojim mrežnim stranicama, kazna je teleoperateru izrečena zbog transfera ličnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informisanja ispitanika, te obrade kopija ličnih karata i uvjerenja o nevođenju kaznenog postupka zaposlenih bez pravne osnove, kao i nepreduzimanja odgovarajuće prethodne kontrole izvršioca obrade, prenosi Index.hr.
Teleoperater je, objašnjava AZOP ne navodeći o kojem se teleoperateru radi, prenosio lične podatke svojih korisnika uvozniku podataka u Srbiji odnosno društvu unutar grupacije koje je održavalo softver.
Teleoperater, a radi se o Telemachu oštro odbacuje navode objavljene na internet stranici AZOP-a te najavljuje da će preduzeti sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije.
- U slučaju koji navodi AZOP nije došlo do povrede podataka. Podaci nijesu prosljeđivani van Hrvatske niti EU te su sačuvani isključivo na području Hrvatske, sigurni su i nije bilo nikakvog curenja - tvrde u Telemachu.
Prenos podataka, navodi AZOP, temeljio se na standardnim ugovornim klauzulama od sredine aprila 2020. do najkasnije 27. decembra 2022. godine, no nakon tog datuma teleoperater je propustio sklopiti standardne ugovorne klauzule s izvršiocem obrade u Srbiji.
To znači, objašnjavaju iz AZOP-a, da se nakon tog datuma prenos ličnih podataka ispitanika odvijao "bez odgovarajućih zaštitnih mjera".
AZOP je objasnio da je operater, budući da Evropska komisija za Srbiju nije donijela odluku o primjerenosti u smislu odredbi Opšte uredbe o zaštiti podataka, morao redovne prenose ličnih podataka ispitanika zasnovati na nekom od instrumenata za prenos.
- Izvršilac obrade iz Srbije mogao je pristupati cijeloj SAP CRM bazi i to s administratorskim ovlašćenjima, a što je značilo da je imao neograničene ovlasti pristupu ličnim podacima, njih ukupno 847,86 hiljada ispitanika/korisnika usluga voditelja obrade - navodi se iz AZOP-a.
Odnosno, nastavlja AZOP, da je mogao pristupati imenu i prezimenu, OIB-u, adresi s lične karte, adresi priključka, adresi za slanje računa, kontakt broju, adresi elektronske pošte, IBAN-u, MSISDN-u, ICCID-u te podacima o ugovorenim uslugama korisnika.
Osim toga, naveli su iz AZOP-a, teleoperater nije sproveo Procjenu rizika za prenos ličnih podataka u Srbiju, što je bio dužan učiniti prije početka prenosa ličnih podataka u treću zemlju, a sva su ta postupanja protivna odredbama Opšte uredbe o zaštiti podataka.
Takođe, dodaje AZOP, teleoperater o navedenom prenosu u Srbiju, zemlju van Evropskog ekonomskog prostora (EPG), "nije niti informisao ispitanike, što mu je obaveza na osnovu Opšte uredbe o zaštiti podataka.
- Pregledom politika privatnosti utvrđeno je kako vođa obrade nije koristio jasne jezične formulacije da se lični podaci ispitanika prenose van EGP, već je koristio formulacije poput "možda" će se lični podaci dijeliti u treće zemlje ili da se lični podaci u pravilu obrađuju na području Evropske unije, a samo izuzetno van Evropske unije - dodali su iz AZOP-a.
Teleoperater je, kako su rekli, "prekomjerno" obrađivao lične podatke svojih zaposlenih odnosno da je prikupljao "kopije njihovih ličnih karata", što je takođe protivno odredbama Opšte uredbe o zaštiti podataka.
- Dodatna otežavajuća okolnost - navedi su iz AZOP-a je i to što je operater "zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija ličnih karata s obzirom na sadržaj podataka može smatrati prekomjernom obradom ličnih podataka".
Isto tako, operater je prikupljao i potvrde o nevođenju kaznenog postupka svojih zaposlenih", što je takođe protivno Opštoj uredbi o zaštiti podataka.