Agencija za zaštitu ličnih podataka (AZOP) izrekla je administrativnu kaznu od 4,5 miliona eura teleoperateru, kao kontroloru podataka, zbog kršenja Opće uredbe o zaštiti podataka, čime su lični podaci gotovo 900.000 korisnika dovedeni u opasnost.
Nakon postupka po službenoj dužnosti, AZOP je u petak objavio na svojoj web stranici, da je teleoperateru (operatoru elektronskih komunikacijskih mreža i usluga) izrečena novčana kazna zbog prenosa ličnih podataka u treće zemlje bez važećeg instrumenta i bez transparentnog obavještavanja subjekata podataka, te zbog obrade kopija ličnih karata i potvrda o nekazničnom postupku protiv zaposlenika bez zakonskog osnova, kao i zbog neprovođenja odgovarajuće prethodne kontrole obrađivača podataka.
Teleoperater, objašnjava AZOP bez preciziranja o kojem se teleoperateru radi, prenio je lične podatke svojih korisnika uvozniku podataka (obrađivaču) u Republici Srbiji, odnosno kompaniji unutar grupe koja je održavala softver.
Prijenos podataka bez odgovarajuće zaštite
Prenos podataka, prema AZOP-u, bio je zasnovan na standardnim ugovornim klauzulama od sredine aprila 2020. godine do najkasnije 27. decembra 2022. godine, ali nakon tog datuma telekom operater nije zaključio standardne ugovorne klauzule sa obrađivačem u Srbiji.
To znači, objašnjava AZOP, da je nakon tog datuma prenos ličnih podataka ispitanika obavljen "bez odgovarajućih zaštitnih mjera".
AZOP ovdje pojašnjava da, budući da Evropska komisija nije izdala odluku o adekvatnosti za Srbiju u smislu odredbi Opšte uredbe o zaštiti podataka, operater je morao da zasniva redovne prenose ličnih podataka subjekata podataka na jedan od instrumenata prenosa (pravno obavezujući instrumenti između javnih organa, obavezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam sertifikacije, ugovorne klauzule i odredbe iz administrativnih aranžmana).
„Obrađivač iz Republike Srbije je mogao pristupiti cijeloj SAP CRM bazi podataka s administrativnim ovlaštenjem, što je značilo da je imao neograničeno ovlaštenje za pristup ličnim podacima (ukupno 847.862) subjekata podataka/korisnika usluga kontrolora“, navodi AZOP.
Odnosno, nastavlja AZOP, da je mogao pristupiti imenu i prezimenu, OIB-u, adresi iz lične karte, adresi za povezivanje, adresi za naplatu, kontakt broju, email adresi, IBAN-u (za korisnike sa ugovorenim SEP nalogom za direktno terećenje), MSISDN-u (broj telefona povezan sa jednom SIM karticom), ICCID-u (serijski broj koji identifikuje svaku SIM ili eSIM karticu), te podacima o ugovorenim uslugama korisnika.
Nedostatak procjene rizika i informacija za korisnike
Osim toga, prema navodima AZOP-a, telekom operater nije sproveo Procjenu rizika za prenos ličnih podataka u Srbiju, što je bio dužan da uradi prije početka prenosa ličnih podataka u treću zemlju, a sve ove radnje su u suprotnosti sa odredbama Opšte uredbe o zaštiti podataka.
Također, dodaje AZOP, telekomunikacijski operater, "nije čak ni obavijestio ispitanike o spomenutom transferu u Srbiju, zemlju izvan Evropskog ekonomskog prostora (EEA), što je njegova obaveza prema Općoj uredbi o zaštiti podataka".
„Pregledom politika privatnosti utvrđeno je da kontrolor nije koristio jasnu formulaciju kako bi naveo da će se lični podaci subjekta podataka prenositi izvan EGP-a, već je koristio formulacije poput 'možda' će se lični podaci dijeliti s trećim zemljama ili da će se lični podaci uglavnom obrađivati unutar Evropske unije, a samo izuzetno izvan Evropske unije“, dodaje AZOP.
Prekomjerna obrada podataka zaposlenika
Također ističe da je telekom operater "prekomjerno" obrađivao lične podatke svojih zaposlenika, odnosno prikupljao "kopije njihovih ličnih karata", što je također suprotno odredbama Opće uredbe o zaštiti podataka.
„Dodatna otežavajuća okolnost“, navodi AZOP, jeste da je operater „ignorisao mišljenje svog službenika za zaštitu podataka, koji je izdao mišljenje da se prikupljanje kopija ličnih karata, s obzirom na sadržaj podataka, može smatrati prekomjernom obradom ličnih podataka (u vezi sa navedenom svrhom)“.
Isto tako, operater je "prikupljao potvrde o nekažnjavanju svojih zaposlenika", što je također suprotno Općoj uredbi o zaštiti podataka.
Konačno, prema saopštenju AZOP-a, obrađivač podataka kojeg je operater angažovao za potrebe telefonske prodaje usluga nije imao implementirane ni osnovne mjere zaštite, a teleoperater to nije prethodno provjerio, odnosno "nije sproveo prethodnu kontrolu usklađenosti sa mjerama zaštite obrađivača podataka prije njegovog angažovanja".
