Telemachu kazna od 4,5 mil. eura; tvrtka odbacuje navode AZOP-a

Nakon postupka koji je proveden po službenoj dužnosti, objavio je u petak AZOP na svojim mrežnim stranicama, kazna je teleoperateru (operatoru elektroničkih komunikacijskih mreža i usluga) izrečena zbog transfera osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove te nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade.

Teleoperater je, objašnjava AZOP ne navodeći o kojem je teleoperateru riječ, prenosio osobne podatke svojih korisnika uvozniku podataka (izvršitelju obrade) u Republici Srbiji odnosno društvu unutar grupacije koje je održavalo softver.

- Ti su podaci prenošeni bez znanja samih korisnika odnosno ispitanika teleoperatera bez ikakvih pravnih instrumenata znači sami korisnici nisu bili informirani da se njihovi podaci prenose u Republiku Srbiju i naglašavam ovdje nije riječ o curenju osobnih podataka nego o nezakonitom prijenosu osobnih podataka korisnika t eleopertatera iz Hrvatske u Republiku Srbiju, rekao je Zdravko Vukić, ravnatelj Agencije za zaštitu osobnih podataka.

Prijenos podataka bez odgovarajuće zaštite

Prijenos podataka, navodi AZOP, temeljio se na standardnim ugovornim klauzulama od sredine travnja 2020. do najkasnije 27. prosinca 2022. godine, no nakon tog datuma teleoperater je propustio sklopiti standardne ugovorne klauzule s izvršiteljem obrade u Srbiji.

To znači, pojašnjavaju iz AZOP-a, da se nakon tog datuma prijenos osobnih podataka ispitanika odvijao bez odgovarajućih zaštitnih mjera.

- Ovdje je ključ o pravima i zaštiti prava ispitanika u osnosu na obradu njihovih osonbih podataka Budući je ovdje utvrđeno da je izostala transparentnost i jasna informacija ispitanicima da se njihovi osobni podaci znači transferiraju izvan EU njihova prava su tu bila prekršena, kazao je Igor Vrulje, zamjenik ravnatelja AZOP-a.

AZOP objašnjava da je operater, s obzirom na to da Europska komisija za Srbiju nije donijela odluku o primjerenosti u smislu odredbi Opće uredbe o zaštiti podataka, morao redovite prijenose osobnih podataka ispitanika temeljiti na nekom od instrumenata za prijenos (pravno obvezujući instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora).

Izvršitelj obrade iz Republike Srbije mogao je pristupati cijeloj SAP CRM bazi, i to s administratorskim ovlastima, a što je značilo da je imao neograničene ovlasti pristupu osobnim podacima (njih ukupno 847 862) ispitanika/korisnika usluga voditelja obrade, navodi AZOP.

Odnosno, nastavlja AZOP, da je mogao pristupati imenu i prezimenu, OIB-u, adresi s osobne iskaznice, adresi priključka, adresi za slanje računa, kontakt-broju, adresi elektroničke pošte, IBAN-u (kod korisnika s ugovorenim SEP nalogom za izravno terećenje), MSISDN-u (telefonski broj povezan s jednom SIM karticom), ICCID-u (serijski broj koji identificira svaku SIM ili eSIM karticu) te podacima o ugovorenim uslugama korisnika.

Osim toga, navodi AZOP, teleoperater nije proveo Procjenu rizika za prijenos osobnih podataka u Srbiju, što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju, a sva su ta postupanja protivna odredbama Opće uredbe o zaštiti podataka.

Također, dodaje AZOP, teleoperater o navedenom prijenosu u Srbiju, zemlju izvan Europskog gospodarskog prostora (EPG), nije niti informirao ispitanike, što mu je obveza na temelju Opće uredbe o zaštiti podataka.

Pregledom politika privatnosti utvrđeno je kako voditelj obrade nije koristio jasne jezične formulacije da se osobni podaci ispitanika prenose izvan EGP, nego je koristio formulacije poput "možda" će se osobni podaci dijeliti u treće zemlje ili da se osobni podaci u pravilu obrađuju na području Europske unije, a samo iznimno izvan Europske unije, dodaje AZOP.

Ističe i da je teleoperater prekomjerno obrađivao osobne podatke svojih zaposlenika, odnosno da je prikupljao preslike njihovih osobnih iskaznica, što je također protivno odredbama Opće uredbe o zaštiti podataka.

Operater zanemario i mišljenje svoje službenice za zaštitu podataka

Telemach: Oštro odbacujemo navode AZOP-a i navode u nekim medijima

Iz Telemacha Hrvatska odgovorili su da su podaci korisnika Telemacha u Republici Hrvatskoj sigurni i da nije bilo nikakvog curenja podataka.

- Oštro odbacujemo navode objavljene na internetskoj stranici AZOP-a i u pojedinim medijima te najavljujemo da ćemo poduzeti sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije, poručili su iz Telemacha.

Kažu da u slučaju koji navodi AZOP nije došlo do povrede podataka, niti su prosljeđivani izvan Hrvatske i EU-a, te su pohranjeni isključivo na području Republike Hrvatske, sigurni su i nije bilo nikakvog curenja.

- Podaci naših korisnika su sigurni, nalaze se u Hrvatstkoj, nije dolazilo do prosljeđivanja podataka izvan Hrvatske ili EU niti je bilo ikakvog curenja podataka. Tijekom postupka nadzora surađivali smo s Agencijom te smo sa današnjim rješenjem zatečeni, kazala je Morana Čulo Jovičić, izvršna direktorica Sektora pravnih i regulatornih poslova Telemacha.

Objašnjavaju da je riječ o poslovnoj suradnji unutar matične United Grupe, u čijem sastavu posluje i Telemach, a kompanije koje su dio Grupe sudjeluju u održavanju i razvoju poslovnih sustava, što u određenim situacijama uključuje pristup pojedinih stručnjaka izvan Hrvatske navedenim sustavima.

- Sustavu se pristupalo isključivo u tehničke svrhe i pod točno određenim sigurnosnim uvjetima. Poslovne funkcije koje se odvijaju na razini United Grupe ne uključuju prijenos korisničkih podataka, nego isključivo tehnički nadzor i razvoj sustava u strogo kontroliranim uvjetima te u skladu s najboljim tehničko-sigurnosnim europskim standardima, naglašavaju iz Telemacha.

Kompanija posluje u visoko reguliranom telekomunikacijskom sektoru, u skladu s najvišim standardima zaštite osobnih podataka, a Telemach, kako ističu, redovito provodi revizije i edukacije zaposlenika te posjeduje međunarodne certifikate (ISO 9001, 27001, 22301), čime potvrđuje predanost upravljanju kvalitetom, sigurnošću informacija i kontinuitetom poslovanja.

Također, kompanija ima jasno definirane politike zaštite osobnih podataka te specijaliziranu službu koja se time bavi uz redovito godišnje provođenje procjene rizika, kažu iz tog telekoma.

Ističu da su tijekom nadzora pokazali punu transparentnost i suradljivost te da su "zatečeni načinom na koji nam je dostavljeno rješenje, što nije u skladu s primjenjivim propisima".

- Takvo postupanje narušava ugled i poslovanje Telemacha i u tom segmentu poduzet ćemo pravna sredstva koja su nam na raspolaganju. Još jednom naglašavamo da su podaci svih naših korisnika sigurni, da nikada nije bilo zlouporabe, niti curenja korisničkih podataka, zaključuju iz Telemacha.

Visoka AZOP-ova kazna Telemachu