Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu od 4,5 milijuna eura jednom teleoperateru zbog ozbiljnih povreda Opće uredbe o zaštiti podataka. To je druga najveća kazna koju je AZOP ikada izrekao, a razlozi se odnose na nepravilnu obradu osobnih podataka korisnika i zaposlenika, uključujući transfer podataka u treće zemlje bez odgovarajućih mjera zaštite.
Prema priopćenju AZOP-a, teleoperater je prijenosom osobnih podataka u Republiku Srbiju prekršio niz odredbi uredbe. Podaci su uključivali ime i prezime, OIB, adrese, kontakte, IBAN, brojeve SIM kartica i informacije o ugovorenim uslugama, a uvoznik u Srbiji imao je administratorske ovlasti nad cijelom SAP CRM bazom. Kazna je izrečena i zbog neprovođenja procjene rizika, neinformiranja ispitanika te prikupljanja preslika osobnih iskaznica i potvrda o ne vođenju kaznenog postupka zaposlenika bez pravne osnove.
AZOP je u priopćenju naglasio i da teleoperater nije provjerio osnovne mjere zaštite izvršitelja obrade prije početka suradnje, što dodatno otežava situaciju. Kazna se temelji na sustavnom kršenju propisa o zaštiti osobnih podataka i zanemarivanju preporuka službenice za zaštitu podataka, čime je ugrožena privatnost gotovo 850.000 korisnika.
Prijenos podataka u treće zemlje
Teleoperater je osobne podatke svojih korisnika prenosio u Republiku Srbiju, gdje je uvoznik imao pristup cijeloj SAP CRM bazi s administratorskim ovlastima. Postupak je prvotno bio temeljen na standardnim ugovornim klauzulama od 16. travnja 2020. do 27. prosinca 2022. godine. Nakon tog datuma, standardne ugovorne klauzule nisu bile sklopljene, što je rezultiralo prijenosom podataka bez odgovarajućih zaštitnih mjera.
AZOP je utvrdio da teleoperater nije proveo Procjenu rizika prije početka prijenosa osobnih podataka, niti je ispitanike jasno informirao o prijenosu podataka izvan Europskog gospodarskog prostora. Politike privatnosti koristile su nejasne formulacije, poput „možda“ će se osobni podaci dijeliti u treće zemlje, što nije u skladu s člankom 12. stavka 1. Opće uredbe o zaštiti podataka.
Prekomjerna obrada podataka zaposlenika
Uz prijenos korisničkih podataka, AZOP je utvrdio i prekomjernu obradu podataka zaposlenika. Teleoperater je prikupljao preslike osobnih iskaznica i potvrde o ne vođenju kaznenog postupka, što je protivno članku 6. stavku 1. i članku 5. Opće uredbe o zaštiti podataka. Dodatna otegotna okolnost bila je ignoriranje mišljenja službenice za zaštitu podataka, koja je upozorila da prikupljanje kopija osobnih iskaznica predstavlja prekomjernu obradu.
Teleoperater nije provjerio osnovne mjere zaštite koje je imao izvršitelj obrade, sukladno članku 28. stavku 1. Opće uredbe o zaštiti podataka. Budući da Europska komisija nije donijela odluku o primjerenosti za Republiku Srbiju, prijenosi podataka morali su biti temeljeni na odgovarajućim pravno obvezujućim instrumentima, čega teleoperater nije bio u skladu.

