Skandal: Teleoperater podatke korisnika iz Hrvatske slao u Srbiju, izrečena ogromna kazna

Nakon postupka sprovedenog po službenoj dužnosti, Agencija za zaštitu ličnih podataka izrekla je upravnu novčanu kaznu teleoperateru (operatoru elektronskih komunikacionih mreža i usluga), kao rukovaocu obrade, u ukupnom iznosu od 4.500.000 evra zbog kršenja odredbi Opšte uredbe o zaštiti podataka, i to u pogledu prenosa ličnih podataka u treće zemlje bez validnog pravnog osnova i bez transparentnog informisanja ispitanika, zatim zbog obrade kopija ličnih karata i uverenja o nevođenju krivičnog postupka zaposlenih bez pravne osnove, kao i zbog nepreduzimanja odgovarajuće prethodne kontrole obrađivača podataka, prenosi Jutarnji list.

Rukovalac obrade prenosio je lične podatke svojih korisnika uvoznicima u Republici Srbiji (društvu u okviru iste grupacije koje je održavalo softver) i taj prenos je bio zasnovan na standardnim ugovornim klauzulama od 16. aprila 2020. do najkasnije 27. decembra 2022. godine. Međutim, nakon tog datuma rukovalac obrade nije zaključio standardne ugovorne klauzule sa uvoznikom podataka u Srbiji, što znači da se nakon tog datuma prenos ličnih podataka ispitanika obavljao bez odgovarajućih zaštitnih mera.

Obrađivač podataka iz Srbije imao je pristup celoj SAP CRM bazi, i to sa administratorskim ovlašćenjima, što znači da je imao neograničen pristup ličnim podacima čak 847.862 korisnika, uključujući: ime i prezime, OIB (broj lične karte), adresu sa lične karte, adresu priključka, adresu za slanje računa, kontakt telefon, imejl adresu, IBAN (za korisnike sa SEPA nalogom za direktno zaduženje), MSISDN (broj SIM kartice), ICCID (serijski broj SIM/eSIM kartice), kao i podatke o ugovorenim uslugama korisnika.

Pored toga, rukovalac nije sproveo procenu rizika za prenos ličnih podataka u Srbiju, što je bio dužan da uradi pre početka prenosa. Ovo je protivno članu 44. u vezi sa članom 46. stav 1 Opšte uredbe o zaštiti podataka.

O navedenom prenosu u Srbiju, zemlju koja je izvan Evropskog ekonomskog prostora, rukovalac obrade nije obavestio ispitanike, iako je to bila njegova obaveza prema članu 13. stav 1, tačka (f) Opšte uredbe. Pregledom politika privatnosti utvrđeno je da rukovalac nije koristio jasne formulacije koje bi ukazale da se podaci prenose izvan EGP-a, već neodređene izraze poput „možda“ će se podaci deliti sa trećim zemljama, ili da se podaci „uglavnom“ obrađuju u EU, a izuzetno van nje, što je protivno članu 12. stav 1 Opšte uredbe.

Dalje, rukovalac obrade je prekomerno obrađivao lične podatke zaposlenih — prikupljao je kopije njihovih ličnih karata, protivno članu 6. stav 1 i članu 5. stav 1 tačka (c) i stav 2 Opšte uredbe. Dodatna otežavajuća okolnost bila je što je ignorisao mišljenje službenika za zaštitu podataka, koji je upozorio da se prikupljanje kopija ličnih karata može smatrati prekomernom obradom.

Takođe, rukovalac je prikupljao i potvrde o nevođenju krivičnog postupka zaposlenih, protivno članu 6. stav 1 i članu 5. stav 1 tačka (b) i stav 2 Opšte uredbe.

Naposletku, obrađivač podataka kojeg je rukovalac angažovao za telefonsku prodaju usluga nije imao implementirane čak ni osnovne mere zaštite, što je rukovalac bio dužan da proveri pre početka obrade u skladu sa članom 28. stav 1 Opšte uredbe — odnosno, rukovalac nije sproveo prethodnu kontrolu zaštitnih mera obrađivača.

S obzirom na to da Evropska komisija za Republiku Srbiju nije donela odluku o adekvatnosti u smislu člana 45. stav 3 Opšte uredbe, rukovalac je morao da redovne prenose ličnih podataka zasniva na nekom od instrumenata iz člana 46 (obavezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, sertifikacioni mehanizmi, ugovorne klauzule itd.), zaključuje se u saopštenju AZOP-a.