Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu u ukupnom iznosu od 4,5 milijuna eura jednom teleoperateru, kao voditelju obrade, zbog višestrukih povreda Opće uredbe o zaštiti podataka (GDPR). Postupak je proveden po službenoj dužnosti, a utvrđene povrede ugrozile su osobne podatke gotovo 900 tisuća korisnika.
AZOP je teleoperateru (čije ime nije navedeno) izrekao kaznu zbog kritičnih propusta, uključujući transfer osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika. Dodatne povrede obuhvaćaju obradu preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanje odgovarajuće prethodne kontrole izvršitelja obrade.
Prijenos podataka u Srbiju bez zaštitnih mjera
Glavni problem nastao je zbog prijenosa osobnih podataka korisnika u Republiku Srbiju društvu unutar grupacije koje je održavalo softver. Prijenos se temeljio na standardnim ugovornim klauzulama do kraja 2022. godine. Međutim, AZOP naglašava da je teleoperater nakon 27. prosinca 2022. propustio sklopiti nove standardne ugovorne klauzule, što znači da se prijenos osobnih podataka odvijao “bez odgovarajućih zaštitnih mjera”.
Budući da Europska komisija za Srbiju nije donijela odluku o primjerenosti u smislu GDPR-a, operater je bio dužan prijenos temeljiti na nekom od strogih pravnih instrumenata. Propust u zaštiti bio je izuzetno ozbiljan: izvršitelj obrade u Srbiji imao je administratorske ovlasti za pristup cijeloj SAP CRM bazi, što je uključivalo neograničen pristup osobnim podacima 847.862 ispitanika. Ti su podaci obuhvaćali ime i prezime, OIB, adrese, kontakt brojeve, e-mail adrese, IBAN (za korisnike s izravnim terećenjem) te sve tehničke i ugovorene detalje usluga.
Osim toga, AZOP navodi da teleoperater nije proveo Procjenu rizika za prijenos podataka u Srbiju, što je bila obvezna radnja prije početka takvog prijenosa.
Netransparentnost i prekomjerna obrada podataka zaposlenika
Teleoperater je prekršio GDPR i netransparentnošću. Utvrđeno je da ispitanici nisu bili informirani o navedenom prijenosu izvan Europskog gospodarskog prostora (EGP). Politike privatnosti koristile su nejasne formulacije poput “možda” će se podaci dijeliti u treće zemlje ili da se obrađuju na području EU-a samo “iznimno” izvan.
Dodatno, AZOP je utvrdio “prekomjernu” obradu osobnih podataka zaposlenika, budući da je operater prikupljao preslike njihovih osobnih iskaznica i potvrde o ne vođenju kaznenog postupka bez pravne osnove.
Kao otegotna okolnost ističe se to što je operater zanemario mišljenje vlastite službenice za zaštitu podataka koja je upozorila da se prikupljanje kopija osobnih iskaznica može smatrati prekomjernom obradom. Naposljetku, operater nije proveo ni prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade angažiranog za telefonsku prodaju, iako taj izvršitelj nije imao implementirane niti osnovne mjere zaštite.
