Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu u ukupnom iznosu od 4,5 milijuna eura jednom teleoperateru, kao voditelju obrade, zbog višestrukih povreda Opće uredbe o zaštiti podataka (GDPR). Postupak je proveden po službenoj dužnosti, a utvrđene povrede ugrozile su osobne podatke gotovo 900 tisuća korisnika.
AZOP je teleoperateru (čije ime nije navedeno) izrekao kaznu zbog kritičnih propusta, uključujući transfer osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika. Dodatne povrede obuhvaćaju obradu preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanje odgovarajuće prethodne kontrole izvršitelja obrade.
Prijenos podataka u Srbiju bez zaštitnih mjera
Glavni problem nastao je zbog prijenosa osobnih podataka korisnika u Republiku Srbiju društvu unutar grupacije koje je održavalo softver. Prijenos se temeljio na standardnim ugovornim klauzulama do kraja 2022. godine. Međutim, AZOP naglašava da je teleoperater nakon 27. prosinca 2022. propustio sklopiti nove standardne ugovorne klauzule, što znači da se prijenos osobnih podataka odvijao “bez odgovarajućih zaštitnih mjera”.
Budući da Europska komisija za Srbiju nije donijela odluku o primjerenosti u smislu GDPR-a, operater je bio dužan prijenos temeljiti na nekom od strogih pravnih instrumenata. Propust u zaštiti bio je izuzetno ozbiljan: izvršitelj obrade u Srbiji imao je administratorske ovlasti za pristup cijeloj SAP CRM bazi, što je uključivalo neograničen pristup osobnim podacima 847.862 ispitanika. Ti su podaci obuhvaćali ime i prezime, OIB, adrese, kontakt brojeve, e-mail adrese, IBAN (za korisnike s izravnim terećenjem) te sve tehničke i ugovorene detalje usluga.
Osim toga, AZOP navodi da teleoperater nije proveo Procjenu rizika za prijenos podataka u Srbiju, što je bila obvezna radnja prije početka takvog prijenosa.
Netransparentnost i prekomjerna obrada podataka zaposlenika
Teleoperater je prekršio GDPR i netransparentnošću. Utvrđeno je da ispitanici nisu bili informirani o navedenom prijenosu izvan Europskog gospodarskog prostora (EGP). Politike privatnosti koristile su nejasne formulacije poput “možda” će se podaci dijeliti u treće zemlje ili da se obrađuju na području EU-a samo “iznimno” izvan.
Dodatno, AZOP je utvrdio “prekomjernu” obradu osobnih podataka zaposlenika, budući da je operater prikupljao preslike njihovih osobnih iskaznica i potvrde o ne vođenju kaznenog postupka bez pravne osnove.
Kao otegotna okolnost ističe se to što je operater zanemario mišljenje vlastite službenice za zaštitu podataka koja je upozorila da se prikupljanje kopija osobnih iskaznica može smatrati prekomjernom obradom. Naposljetku, operater nije proveo ni prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade angažiranog za telefonsku prodaju, iako taj izvršitelj nije imao implementirane niti osnovne mjere zaštite.
Telemach odbacuje optužbe AZOP-a
Agencija za zaštitu osobnih podataka (AZOP) potvrdila je Hini u petak da je teleoperateru Telemach Hrvatska izrekla upravnu novčanu kaznu u iznosu od 4,5 milijuna eura zbog povreda Opće uredbe o zaštiti podataka (GDPR). Telemachu je rješenje o kazni uručeno u petak, a protiv njega nije dopuštena žalba, već se u roku od 30 dana može pokrenuti sudski spor.
Kazna je izrečena zbog nekoliko povreda GDPR-a, uključujući obradu preslika osobnih iskaznica i uvjerenja o nevođenju kaznenog postupka zaposlenika bez pravne osnove, te zbog nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade.
Ključna povreda: Prijenos podataka u Srbiju bez zaštitnih mjera
AZOP objašnjava da je Telemach, kao voditelj obrade, prenosio osobne podatke svojih korisnika izvršitelju obrade u Republici Srbiji – društvu unutar matične United Grupe, koje je održavalo softver. Prijenos se temeljio na standardnim ugovornim klauzulama od travnja 2020. do prosinca 2022. godine.
Međutim, nakon 27. prosinca 2022. godine, Telemach je propustio sklopiti nove standardne ugovorne klauzule s izvršiteljem obrade u Srbiji. To je ključni razlog za kaznu, jer se nakon tog datuma, kako navodi AZOP, prijenos osobnih podataka ispitanika odvijao “bez odgovarajućih zaštitnih mjera”.
Odgovor Telemacha: “Nije bilo curenja podataka”
Iz Telemacha Hrvatska oštro su odbacili navode AZOP-a i medija, tvrdeći da su podaci korisnika sigurni i da nije bilo nikakvog curenja podataka. Najavljuju da će poduzeti sva raspoloživa pravna sredstva u svrhu zaštite integriteta i reputacije kompanije.
Telemach tvrdi da u slučaju koji navodi AZOP nije došlo do povrede podataka, niti su podaci prosljeđivani izvan Hrvatske i EU, već su pohranjeni isključivo na području Republike Hrvatske. Tvrde da je riječ o poslovnoj suradnji unutar United Grupe, gdje kompanije sudjeluju u održavanju i razvoju poslovnih sustava. Prema njihovom objašnjenju, pristup sustavu od strane stručnjaka izvan Hrvatske odvijao se isključivo u tehničke svrhe i pod strogo kontroliranim sigurnosnim uvjetima, bez prijenosa korisničkih podataka.
Kompanija ističe da posluje u skladu s najvišim standardima zaštite osobnih podataka, redovito provodi revizije i edukacije te posjeduje međunarodne certifikate poput ISO 9001 i 27001. Iako su pokazali punu transparentnost tijekom nadzora, iz Telemacha su “zatečeni načinom” dostave rješenja i najavljuju pravna sredstva i u tom segmentu, ponovno naglašavajući da su podaci svih korisnika sigurni.
