Agencija za zaštitu osobnih podataka (AZOP) izrekla je jednu od najvećih kazni u hrvatskoj povijesti – čak 4,5 milijuna eura – zbog teških povreda GDPR-a. Kako se doznaje, sankcija je izrečena teleoperatoru Telemachu.
AZOP navodi kako je najveći problem bio prijenos osobnih podataka oko 850.000 korisnika u Srbiju, odnosno u državu izvan Europskog gospodarskog prostora. Među tim podacima nalaze se imena i prezimena, OIB-i, adrese, brojevi mobitela, e-mail adrese, IBAN-i i informacije o ugovorenim uslugama.
Telemach, tvrdi AZOP, pritom nije proveo procjenu rizika prije slanja podataka u treću zemlju, iako je to bio zakonski uvjet. Uz to, korisnici navodno nisu bili jasno informirani o prijenosu podataka – u dokumentima privatnosti korištene su nejasne formulacije poput da se podaci “možda” šalju u treće zemlje ili da se “u pravilu” obrađuju unutar EU-a, što AZOP smatra netransparentnim.
Prekomjerno prikupljanje podataka zaposlenika
Inspektori su utvrdili i da je Telemach prekomjerno prikupljao podatke zaposlenika, uključujući preslike osobnih iskaznica bez pravne osnove, unatoč upozorenjima službenice za zaštitu podataka. Od djelatnika se tražila i potvrda o nevođenju kaznenog postupka, iako za to nije postojao jasan temelj u GDPR-u.
Dodatno, Telemach nije proveo adekvatnu provjeru zaštite podataka kod vanjske tvrtke angažirane za telefonsku prodaju, što AZOP navodi kao još jedno ozbiljno kršenje propisa.Tvrtka je odgovorila priopćenjem u kojem tvrdi da je AZOP-ov opis slučaja netočan: “Oštro odbacujemo navode objavljene na internetskoj stranici AZOP-a i pojedinim medijima te ćemo poduzeti sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije.”
Telemach ističe da nije bilo prosljeđivanja podataka izvan Hrvatske niti EU-a, kao ni bilo kakvog curenja ili zloupotrebe: “Sustavu se pristupalo isključivo u tehničke svrhe i pod točno određenim sigurnosnim uvjetima. Poslovne funkcije na razini United Grupe ne uključuju prijenos korisničkih podataka. Svi su korisnički podaci pohranjeni i zaštićeni u Republici Hrvatskoj.”
Inače, Telemach Hrvatska posluje od 2005. godine, najprije kao Tele2, a od 2021. pod sadašnjim imenom. Dio je United Grupe sa sjedištem u Nizozemskoj, čiji je većinski vlasnik investicijski fond BC Partners. Nude mobilnu i fiksnu telefoniju, optički internet i TV usluge, a prema vlastitim podacima, 2023. imali su oko 1,1 milijun korisnika.
Tvrtka tvrdi da posluje prema najvišim standardima zaštite podataka, da redovito provodi revizije i edukacije te da posjeduje sve potrebne certifikate, kao i posebnu službu za zaštitu osobnih podataka. Navode i da su tijekom nadzora bili suradljivi te da ih je “način dostave rješenja iznenadio i narušava njihov ugled”, pa će iskoristiti sva pravna sredstva. Kao nacionalno tijelo za provedbu GDPR-a, AZOP ima ovlasti izricati visoke kazne tvrtkama koje prekrše europske propise o zaštiti podataka. Najveća kazna dosad bila je ona od 5,47 milijuna eura, izrečena tvrtki EOS Matrix zbog nepropisne obrade osobnih i zdravstvenih podataka dužnika.

