Agencija za zaštitu osobnih podataka (AZOP) izvijestila je u petak da je izrekla upravnu novčanu kaznu teleoperatoru kao voditelju obrade, u ukupnom iznosu od 4,5 milijuna eura, zbog povreda odredaba Opće uredbe o zaštiti podataka, pri čemu je riječ o drugoj najvećoj upravnoj novčanoj kazni koju je agencija izrekla. Ne navodeći o kojem je teleoperatoru riječ, iz AZOP-a su priopćili da se povrede odnose na transfer osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o nevođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade.
Telemach je oštro odbacio navode objavljene na internetskoj stranici AZOP-a te najavio da će poduzeti sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije. "U slučaju koji navodi AZOP nije došlo do povrede podataka. Podaci nisu prosljeđivani izvan Hrvatske niti EU te su pohranjeni isključivo na području Republike Hrvatske, sigurni su i nije bilo nikakvog curenja. Naime, riječ je o poslovnoj suradnji unutar United Grupe, u čijem sastavu posluje i Telemach. Kompanije koje su dio Grupe, sudjeluju u održavanju i razvoju poslovnih sustava, što u određenim situacijama uključuje pristup pojedinih stručnjaka izvan Hrvatske navedenom sustavima. Sustavima se pristupalo isključivo u tehničke svrhe i pod točno određenim sigurnosnim uvjetima. Poslovne funkcije koje se odvijaju na razini United Grupe ne uključuju prijenos korisničkih podataka, već isključivo tehnički nadzor i razvoj sustava u strogo kontroliranim uvjetima te u skladu s najboljim tehničko-sigurnosnim europskim standardima. Napominjemo, svi korisnički podaci pohranjeni su i zaštićeni u Republici Hrvatskoj.
Kompanija posluje u visoko reguliranom telekomunikacijskom sektoru, u skladu s najvišim standardima zaštite osobnih podataka. Telemach redovito provodi revizije i edukacije zaposlenika te posjeduje međunarodne certifikate (ISO 9001, 27001, 22301), čime potvrđuje svoju predanost upravljanju kvalitetom, sigurnošću informacija i kontinuitetom poslovanja. Također, kompanija ima jasno definirane politike zaštite osobnih podataka kao i specijaliziranu službu koja se time bavi uz redovito godišnje provođenje procjene rizika. Tijekom nadzora pokazali smo punu transparentnost i suradljivost te smo zatečeni načinom na koji nam je dostavljeno rješenje, što nije u skladu sa primjenjivim propisima. Takvo postupanje narušava ugled i poslovanje Telemacha i u tom segmentu ćemo poduzeti pravna sredstva koja su nam na raspolaganju. Još jednom naglašavamo da su podaci svih naših korisnika sigurni, da nikada nije bilo zloporabe, niti curenja korisničkih podataka", navodi Telemach.
Kako se navodi iz AZOP-a, voditelj obrade prenosio je osobne podatke svojih korisnika izvršitelju obrade u Republici Srbiji (društvu unutar grupacije koje je održavalo softver) te je prijenos temeljio na standardnim ugovornim klauzulama od 16. travnja 2020. do najkasnije 27. prosinca 2022. godine. Međutim, nakon navedenog datuma voditelj obrade je propustio sklopiti standardne ugovorne klauzule s izvršiteljem obrade u Srbiji, što znači da se nakon navedenog datuma prijenos osobnih podataka ispitanika odvijao bez odgovarajućih zaštitnih mjera, kažu iz AZOP-a.
Ističu da je izvršitelj obrade iz Republike Srbije mogao pristupati cijeloj "SAP CRM" bazi i to s administratorskim ovlastima, a što je značilo da je imao neograničene ovlasti pristupu osobnim podacima, njih ukupno 847.862, ispitanika/korisnika usluga voditelja obrade. Odnosno, mogao je pristupati osobnim podacima korisnika, kao što su ime i prezime, OIB, adresa s osobne iskaznice, adresa priključka, adresa za slanje računa, kontakt broj, adresa elektroničke pošte, IBAN, MSISDN (telefonski broj povezan s jednom SIM karticom), kao i podacima o ugovorenim uslugama korisnika.
Osim toga, navode iz AZOP-a, voditelj obrade nije proveo procjenu rizika za prijenos osobnih podataka u Srbiju, a što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju. Napominju i da o navedenom prijenosu u Srbiju, zemlju izvan Europskog gospodarskog prostora, voditelj obrade nije niti informirao ispitanike, sukladno obvezi iz Opće uredbe o zaštiti podataka.
"Pregledom politika privatnosti utvrđeno je kako voditelj obrade nije koristio jasne jezične formulacije da se osobni podaci ispitanika prenose izvan EGP, već je koristio formulacije poput 'možda' će se osobni podaci dijeliti u treće zemlje ili da se osobni podaci u pravilu obrađuju na području Europske unije, a samo iznimno izvan Europske unije, što je protivno odredbama Opće uredbe o zaštiti podataka", kažu iz AZOP-a.
Nadalje, kažu iz AZOP-a, voditelj obrade prekomjerno je obrađivao osobne podatke svojih zaposlenika odnosno prikupljao je preslike njihovih osobnih iskaznica i to protivno odredbama Opće uredbe o zaštiti podataka. Dodatna otegotna okolnost je i to što je voditelj obrade zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija osobnih iskaznica s obzirom na sadržaj podataka može smatrati prekomjernom obradom osobnih podataka, napominju. Isto tako, voditelj obrade je prikupljao i potvrde o nevođenju kaznenog postupka svojih zaposlenika, što je također protivno Općoj uredbi o zaštiti podataka.
Naposljetku, izvršitelj obrade kojeg je angažirao voditelj obrade za potrebe usluge telefonske prodaje usluga, nije imao implementirane niti osnovne mjere zaštite, a što je voditelj obrade bio dužan provjeriti još prije početka obrade osobnih podataka sukladno Općoj uredbi, odnosno voditelj obrade nije proveo prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade prije njegova angažiranja, zaključuju iz AZOP-a.
Dakle po tome, teleoperater u srpskom suvlasništvu je slao osobne podatke u Srbiju. Čovjek se može zapitati, što je sljedeće, ćemu će još entiteti iz Srbije imati pristup. SMS porukama? Još ako znamo da su isti i vlasnici nekih medija u Hrvatskoj postavlja se pitanje jel je to slučajno?