Agencija za zaštitu osobnih podataka (AZOP) jednom je teleoperateru izrekla kaznu od čak 4,5 milijuna eura, priopćili su na svojim stranicama. Njihovo priopćenje ispod prenosimo u cijelosti. To je druga najveća kazna koju je AZOP ikad izrekao.

- Nakon postupka koji je proveden po službenoj dužnosti, Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu teleoperatoru (operatoru elektroničkih komunikacijskih mreža i usluga), kao voditelju obrade, u ukupnom iznosu od 4.500.000,00 eura zbog povreda odredaba Opće uredbe o zaštiti podataka i to u pogledu transfera osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade.

Voditelj obrade prenosio je osobne podatke svojih korisnika uvozniku u Republici Srbiji (društvu unutar grupacije koje je održavalo softver) te je prijenos temeljio na standardnim ugovornim klauzulama od 16. 4. 2020. do najkasnije 27. 12. 2022. godine. Međutim, nakon navedenog datuma voditelj obrade je propustio sklopiti standardne ugovorne klauzule* s uvoznikom podataka u Republici Srbiji, što znači da se nakon navedenog datuma prijenos osobnih podataka ispitanika odvijao bez odgovarajućih zaštitnih mjera. Izvršitelj obrade iz Republike Srbije mogao je pristupati cijeloj SAP CRM bazi i to s administratorskim ovlastima, a što je značilo da su imali neograničene ovlasti pristupu osobnim podacima (njih ukupno 847.862) ispitanika/korisnika usluga voditelja obrade, odnosno da su mogli pristupati sljedećim osobnim podacima korisnika: ime i prezime, OIB, adresa s osobne iskaznice, adresa priključka, adresa za slanje računa, kontakt broj, adresa elektroničke pošte, IBAN (kod korisnika s ugovorenim SEP nalogom za izravno terećenje), MSISDN (telefonski broj povezan s jednom SIM karticom), ICCID (serijski broj koji identificira svaku SIM ili eSIM karticu) te podaci o ugovorenim uslugama korisnika. Osim toga, voditelj obrade nije proveo Procjenu rizika za prijenos osobnih podataka u Republiku Srbiju, a što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju. Navedena postupanja protivna su odredbi članka 44. u vezi s člankom 46. stavkom 1. Opće uredbe o zaštiti podataka.

O navedenom prijenosu u Republiku Srbiju, zemlju izvan Europskog gospodarskog prostora, voditelj obrade nije niti informirao ispitanike, sukladno obvezi iz članka 13. stavka 1. točke (f) Opće uredbe o zaštiti podataka. Pregledom politika privatnosti utvrđeno je kako voditelj obrade nije koristio jasne jezične formulacije da se osobni podaci ispitanika prenose izvan EGP, već je koristio formulacije poput „možda“ će se osobni podaci dijeliti u treće zemlje ili da se osobni podaci u pravilu obrađuju na području Europske unije, a samo iznimno izvan Europske unije, što je protivno odredbi članka 12. stavka 1. Opće uredbe o zaštiti podataka.

Nadalje, voditelj obrade prekomjerno je obrađivao osobne podatke svojih zaposlenika odnosno prikupljao je preslike njihovih osobnih iskaznica i to protivno odredbi članka 6. stavka 1. te s tim u svezi članka 5. stavka 1. točke (c) te stavka 2. Opće uredbe o zaštiti podataka. Dodatna otegotna okolnost je i to što je voditelj obrade zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija osobnih iskaznica s obzirom na sadržaj podataka može smatrati prekomjernom obradom osobnih podataka (odnosnim na navedenu svrhu).

Isto tako, voditelj obrade je prikupljao i potvrde o ne vođenju kaznenog postupka svojih zaposlenika, a protivno odredbi članka 6. stavka 1. te s tim u svezi članka 5. stavka 1. točke (b) te stavka 2. Opće uredbe o zaštiti podataka.

Naposljetku, izvršitelj obrade kojeg je angažirao voditelj obrade za potrebe usluge telefonske prodaje usluga, nije imao implementirane niti osnovne mjere zaštite, a što je voditelj obrade bio dužan provjeriti još prije početka obrade osobnih podataka sukladno članku 28. stavku 1. Opće uredbe o zaštiti podataka, odnosno voditelj obrade nije proveo prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade prije njegova angažiranja.

Budući da Europska komisija za Republiku Srbiju nije donijela odluku o primjerenosti u smislu članka 45. stavka 3. Opće uredbe o zaštiti podataka, voditelj obrade je redovite prijenose osobnih podataka ispitanika morao temeljiti na nekom od instrumenata za prijenos iz članka 46. (pravno obvezujući instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora), zaključuju iz AZOP-a.