Zbog transfera podataka korisnika u Srbiju - kazna teleoperateru 4,5 milijuna eura
Podaci korisnika prenesenih iz Hrvatske na obradu su ime i prezime, OIB, adrese, kontakt podatke, IBAN (za korisnike s ugovorenim SEPA nalogom), te identifikatore SIM kartica (MSISDN i ICCID).
Prema današnjem priopćenju Hine, Agencija za zaštitu osobnih podataka (AZOP) izrekla je „teleoperateru“ (ne spominje se ime tvrtke) upravnu kaznu u ukupnom iznosu od 4,5 milijuna eura zbog „višestrukih povreda Opće uredbe o zaštiti podataka (GDPR), koje su dovele do ugrožavanja osobnih podataka za gotovo 900.000 korisnika i zaposlenika“.
Postupak je pokrenut po službenoj dužnosti, a jedna od ključnih povreda odnosi se na prijenos osobnih podataka korisnika u Republiku Srbiju koja službeno nije u Europskom gospodarskom prostoru (EGP) pa nema pravila usklađena s GDPR-om.
Prema službenoj vijesti, „… prijenos se odvijao prema društvu unutar grupacije koje je bilo angažirano kao izvršitelj obrade za održavanje softvera...“, pa se, dakle, radi o uobičajenoj obradi podataka unutar grupacije, ali izvan Hrvatske.
Do kraja 2022. godine ova praksa se temeljila na standardnim ugovornim klauzulama nakon 27. prosinca 2022. godine operater nije sklopio nove ugovore što znači da se prijenos nastavio bez pravnih zaštitnih mjera koje je bio dužan koristiti za transfer ovih podataka u treće zemlje.
Dodatno otežavajuća okolnost je što je tvrtka u Srbiji koja je obrađivala ove podatke imala administratorske ovlasti pristupa cijeloj SAP CRM bazi, što mu je omogućilo neograničen pristup osobnim podacima 847.862 osoba.
Ovi podaci su ime i prezime, OIB, adrese, kontakt podatke, IBAN (za korisnike s ugovorenim SEPA nalogom), te identifikatore SIM kartica (MSISDN i ICCID).
Agencija za zaštitu osobnih podataka je utvrdila i da teleoperater nije proveo obveznu Procjenu rizika prije početka prijenosa podataka u treću zemlju, niti je o tome obavijestio svoje korisnike, jer su pregledom politike privatnosti ustanovljeno da su korištene nejasne formulacije poput "možda" će se podaci dijeliti izvan EGP-a, umjesto jasnog navođenja obveze prijenosa.
Tu prekršaji ne prestaju pa je potvrđena je i prekomjerna obrada osobnih podataka zaposlenika gdje je (i dalje neimenovani…) teleoperater prikupljao preslike osobnih iskaznica i potvrde o nevođenju kaznenog postupka, za što nije imao pravnu osnovu.
Otegotna okolnost je i zanemarivanje mišljenja službe za zaštitu podataka, koja je upozorila da prikupljanje kopija osobnih iskaznica predstavlja prekomjernu obradu, a nije provedena ni prethodna kontrola izvršitelja obrade angažiranog za telefonsku prodaju, iako taj izvršitelj nije imao implementirane niti osnovne mjere zaštite podataka. Svi navedeni postupci predstavljaju kršenje odredbi Opće uredbe o zaštiti podataka, a kazna je 4,5 milijuna eura.
S obzirom da je golemi Facebook u Irskoj platio svega 17 milijuna eura zbog svog prekršaja GDPR-a (Irsko nadzorno tijelo (DPC) izreklo Facebooku kaznu u iznosu od 17 milijuna eura - Agencija za zaštitu osobnih podataka), a Google u Francuskoj zbog istih prekršaja 50 milijuna eura, ovo se u domaćim razmjerima može smatrati drakonskom kaznom.
