Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu jednom teleoperatoru, kao voditelju obrade, u ukupnom iznosu od 4,5 milijuna eura zbog povreda Opće uredbe o zaštiti podataka zbog čega su bili ugroženi osobni podaci gotovo 900 tisuća korisnika.

Nakon postupka koji je proveden po službenoj dužnosti, objavio je u petak AZOP na svojim mrežnim stranicama, kazna je teleoperateru (operatoru elektroničkih komunikacijskih mreža i usluga) izrečena zbog transfera osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade.

Teleoperater je, objašnjava AZOP ne navodeći o kojem se teleoperateru radi, prenosio osobne podatke svojih korisnika uvozniku podataka (izvršitelju obrade) u Republici Srbiji odnosno društvu unutar grupacije koje je održavalo softver.

Prijenos podataka bez odgovarajuće zaštite

Prijenos podataka, navodi AZOP, temeljio se na standardnim ugovornim klauzulama od sredine travnja 2020. do najkasnije 27. prosinca 2022. godine, no nakon tog datuma teleoperater je propustio sklopiti standardne ugovorne klauzule s izvršiteljem obrade u Srbiji.

To znači, pojašnjavaju iz AZOP-a, da se nakon tog datuma prijenos osobnih podataka ispitanika odvijao „bez odgovarajućih zaštitnih mjera”.

AZOP tu pojašnjava da je operater, budući da Europska komisija za Srbiju nije donijela odluku o primjerenosti u smislu odredbi Opće uredbe o zaštiti podataka, morao redovite prijenose osobnih podataka ispitanika temeljiti na nekom od instrumenata za prijenos (pravno obvezujući instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora).

„Izvršitelj obrade iz Republike Srbije mogao je pristupati cijeloj SAP CRM bazi i to s administratorskim ovlastima, a što je značilo da je imao neograničene ovlasti pristupu osobnim podacima (njih ukupno 847.862) ispitanika/korisnika usluga voditelja obrade”, navodi AZOP.

Odnosno, nastavlja AZOP, da je mogao pristupati imenu i prezimenu, OIB-u, adresi s osobne iskaznice, adresi priključka, adresi za slanje računa, kontakt broju, adresi elektroničke pošte, IBAN-u (kod korisnika s ugovorenim SEP nalogom za izravno terećenje), MSISDN-u (telefonski broj povezan s jednom SIM karticom), ICCID-u (serijski broj koji identificira svaku SIM ili eSIM karticu) te podacima o ugovorenim uslugama korisnika.

Osim toga, navodi AZOP, teleoperater nije proveo Procjenu rizika za prijenos osobnih podataka u Srbiju, što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju, a sva su ta postupanja protivna odredbama Opće uredbe o zaštiti podataka.

Također, dodaje AZOP, teleoperater o navedenom prijenosu u Srbiju, zemlju izvan Europskog gospodarskog prostora (EPG), „nije niti informirao ispitanike, što mu je obveza temeljem Opće uredbe o zaštiti podataka.

„Pregledom politika privatnosti utvrđeno je kako voditelj obrade nije koristio jasne jezične formulacije da se osobni podaci ispitanika prenose izvan EGP, već je koristio formulacije poput 'možda' će se osobni podaci dijeliti u treće zemlje ili da se osobni podaci u pravilu obrađuju na području Europske unije, a samo iznimno izvan Europske unije”, dodaje AZOP.

Ističe i da je teleoperater „prekomjerno” obrađivao osobne podatke svojih zaposlenika odnosno da je prikupljao „preslike njihovih osobnih iskaznica”, što je također protivno odredbama Opće uredbe o zaštiti podataka.

Operater zanemario i mišljenje svoje službenice za zaštitu podataka

„Dodatna otegotna okolnost”, navodi AZOP je i to što je operater „zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija osobnih iskaznica s obzirom na sadržaj podataka može smatrati prekomjernom obradom osobnih podataka (odnosnim na navedenu svrhu)”.

Isto tako, operater je „prikupljao i potvrde o ne vođenju kaznenog postupka svojih zaposlenika”, što je također protivno Općoj uredbi o zaštiti podataka.

Naposljetku, stoji u AZOP-ovoj objavi, izvršitelj obrade kojeg je operater angažirao za potrebe usluge telefonske prodaje usluga, nije imao implementirane niti osnovne mjere zaštite, a teleoperater to prethodno nije provjerio odnosno „nije proveo prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade prije njegova angažiranja”. (Hina)