Teleoperatoru izrečena rekordna kazna od 4,5 milijuna eura zbog nezakonitog prijenosa i obrade podataka, ali, pazite sad, ne možete saznati koji je to teleoperater, jer Hrvatska to ne želi.
Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu od 4,5 milijuna eura jednom velikom hrvatskom teleoperatoru zbog teških povreda Opće uredbe o zaštiti podataka (GDPR). Kazna je rezultat nadzora provedenog po službenoj dužnosti, a obuhvaća više kršenja – od nezakonitog transfera podataka u treće zemlje do prekomjernog prikupljanja osobnih podataka zaposlenika.
Nezakonit prijenos podataka u Srbiju
Teleoperator je prenosio osobne podatke 847.862 korisnika izvršitelju obrade u Republici Srbiji, gdje se održavao softver povezan sa SAP CRM sustavom. Podaci kojima je izvršitelj imao pristup uključivali su ime i prezime, OIB adresu s osobne iskaznice, adresu priključka i adresu za slanje računa, kontakt broj i e-mail, IBAN (za korisnike s SEPA terećenjem), MSISDN i ICCID, te podatke o ugovorenim uslugama.
Od 27. prosinca 2022. nadalje, teleoperator više nije imao važeće standardne ugovorne klauzule (SCC), što znači da se prijenos odvijao bez ikakvih zaštitnih mjera, suprotno članku 44. i članku 46. GDPR-a. Uz to, nije provedena ni Procjena rizika prijenosa (TIA).
Korisnici o prijenosu u treću zemlju nisu bili informirani, a teleoperator je u svojim politikama privatnosti koristio nejasne formulacije poput „možda“ ili „iznimno“, čime je kršio odredbu o transparentnosti (čl. 12. i čl. 13. GDPR-a).
Neosnovano prikupljanje osobnih iskaznica i potvrda o nekažnjavanju
AZOP je utvrdio i da je teleoperator prekomjerno obrađivao osobne podatke zaposlenika, odnosno prikupljao preslike osobnih iskaznica, prikupljao potvrde o nevođenju kaznenog postupka, bez pravne osnove i mimo načela smanjenja količine podataka.
Posebno se ističe da je voditelj obrade ignorirao upozorenje vlastite službenice za zaštitu podataka, koja je zapisnički navela da je takva obrada nezakonita i nesrazmjerna.
Propusti u nadzoru vanjskih izvršitelja
Za potrebe telefonske prodaje teleoperator je angažirao vanjskog izvršitelja obrade koji nije imao implementirane ni osnovne sigurnosne mjere, a voditelj obrade nije proveo prethodnu provjeru sukladno članku 28. GDPR-a.
Najviša kazna te vrste u Hrvatskoj
S obzirom na broj pogođenih ispitanika, duljinu trajanja povreda i ignoriranje stručnih upozorenja unutar same kompanije, AZOP je teleoperatoru izrekao ukupnu kaznu od 4.500.000 eura – jednu od najviših koje je Agencija dosad izdala.
Cijelo priopćenje
Teleoperatoru upravna novčana kazna u ukupnom iznosu od 4,5 milijuna eura
Nakon postupka koji je proveden po službenoj dužnosti, Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu teleoperatoru (operatoru elektroničkih komunikacijskih mreža i usluga), kao voditelju obrade, u ukupnom iznosu od 4.500.000,00 eura zbog povreda odredaba Opće uredbe o zaštiti podataka i to u pogledu transfera osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade.
Voditelj obrade prenosio je osobne podatke svojih korisnika uvozniku podataka (izvršitelju obrade) u Republici Srbiji (društvu unutar grupacije koje je održavalo softver) te je prijenos temeljio na standardnim ugovornim klauzulama od 16.04.2020. do najkasnije 27.12.2022. godine. Međutim, nakon navedenog datuma voditelj obrade je propustio sklopiti standardne ugovorne klauzule* s izvršiteljem obrade u Republici Srbiji, što znači da se nakon navedenog datuma prijenos osobnih podataka ispitanika odvijao bez odgovarajućih zaštitnih mjera.
Izvršitelj obrade iz Republike Srbije mogao je pristupati cijeloj SAP CRM bazi i to s administratorskim ovlastima, a što je značilo da je imao neograničene ovlasti pristupu osobnim podacima (njih ukupno 847.862) ispitanika/korisnika usluga voditelja obrade, odnosno da je mogao pristupati sljedećim osobnim podacima korisnika: ime i prezime, OIB, adresa s osobne iskaznice, adresa priključka, adresa za slanje računa, kontakt broj, adresa elektroničke pošte, IBAN (kod korisnika s ugovorenim SEP nalogom za izravno terećenje), MSISDN (telefonski broj povezan s jednom SIM karticom), ICCID (serijski broj koji identificira svaku SIM ili eSIM karticu) te podaci o ugovorenim uslugama korisnika. Osim toga, voditelj obrade nije proveo Procjenu rizika za prijenos osobnih podataka u Republiku Srbiju, a što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju. Navedena postupanja protivna su odredbi članka 44. u vezi s člankom 46. stavkom 1. Opće uredbe o zaštiti podataka.
O navedenom prijenosu u Republiku Srbiju, zemlju izvan Europskog gospodarskog prostora, voditelj obrade nije niti informirao ispitanike, sukladno obvezi iz članka 13. stavka 1. točke (f) Opće uredbe o zaštiti podataka. Pregledom politika privatnosti utvrđeno je kako voditelj obrade nije koristio jasne jezične formulacije da se osobni podaci ispitanika prenose izvan EGP, već je koristio formulacije poput „možda“ će se osobni podaci dijeliti u treće zemlje ili da se osobni podaci u pravilu obrađuju na području Europske unije, a samo iznimno izvan Europske unije, što je protivno odredbi članka 12. stavka 1. Opće uredbe o zaštiti podataka.
Nadalje, voditelj obrade prekomjerno je obrađivao osobne podatke svojih zaposlenika odnosno prikupljao je preslike njihovih osobnih iskaznica i to protivno odredbi članka 6. stavka 1. te s tim u svezi članka 5. stavka 1. točke (c) te stavka 2. Opće uredbe o zaštiti podataka. Dodatna otegotna okolnost je i to što je voditelj obrade zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija osobnih iskaznica s obzirom na sadržaj podataka može smatrati prekomjernom obradom osobnih podataka (odnosnim na navedenu svrhu).
Isto tako, voditelj obrade je prikupljao i potvrde o ne vođenju kaznenog postupka svojih zaposlenika, a protivno odredbi članka 6. stavka 1. te s tim u svezi članka 5. stavka 1. točke (b) te stavka 2. Opće uredbe o zaštiti podataka.
Naposljetku, izvršitelj obrade kojeg je angažirao voditelj obrade za potrebe usluge telefonske prodaje usluga, nije imao implementirane niti osnovne mjere zaštite, a što je voditelj obrade bio dužan provjeriti još prije početka obrade osobnih podataka sukladno članku 28. stavku 1. Opće uredbe o zaštiti podataka, odnosno voditelj obrade nije proveo prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade prije njegova angažiranja.
*Budući da Europska komisija za Republiku Srbiju nije donijela odluku o primjerenosti u smislu članka 45. stavka 3. Opće uredbe o zaštiti podataka, voditelj obrade je redovite prijenose osobnih podataka ispitanika morao temeljiti na nekom od instrumenata za prijenos iz članka 46. (pravno obvezujući instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora).
Iako AZOP nije objavio koji je teleoperator u pitanju, javio se sam.
Telemacha navodi u priopćenju da oštro odbacuju navode objavljene na internetskoj stranici AZOP-a i pojedinim medijima te najavljuje da će poduzeti sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije.
“U slučaju koji navodi AZOP nije došlo do povrede podataka. Podaci nisu prosljeđivani izvan Hrvatske niti EU-a te su pohranjeni isključivo na području Republike Hrvatske, sigurni su i nije bilo nikakvog curenja. Naime, riječ je o poslovnoj suradnji unutar United Grupe, u čijem sastavu posluje i Telemach”, kažu, uz ostalo.
Tajna služba SOA istražuje navijače a ne agente stranih službi zbog recentnih događaja u Hrvatskoj
