Druga najveća kazna AZOP: Operater poslao podatke korisnika u Srbiju bez saglasnosti, mora da plati milione

Hrvatska Agencija za zaštitu podataka o ličnosti (Agencija za zaštitu osobnih podataka, AZOP) izrekla je jednom teleoperateru kaznu od čak 4,5 miliona evra, saopštili su na svom sajtu. Njihovo saopštenje u nastavku prenosimo u celosti. To je druga najveća kazna koju je AZOP ikada izrekao.

Nakon postupka koji je sproveden po službenoj dužnosti, Agencija za zaštitu podataka o ličnosti izrekla je upravnu novčanu kaznu teleoperatoru (operatoru elektronskih komunikacionih mreža i usluga), kao rukovaocu obrade, u ukupnom iznosu od 4.500.000,00 evra zbog povreda odredaba Opšte uredbe o zaštiti podataka, i to u pogledu transfera podataka o ličnosti u treće zemlje bez validnog instrumenta i bez transparentnog obaveštavanja lica na koja se podaci odnose, te obrade fotokopija ličnih karti i uverenja o nevođenju krivičnog postupka zaposlenih bez pravnog osnova, kao i nepreduzimanja odgovarajuće prethodne kontrole obrađivača obrade.

Teme za vas

Rukovalac obrade prenosio je podatke o ličnosti svojih korisnika uvozniku u Republici Srbiji (kompaniji unutar grupacije koja je održavala softver) te je prenos zasnivao na standardnim ugovornim klauzulama od 16. 4. 2020. do najkasnije 27. 12. 2022. godine. Međutim, nakon navedenog datuma rukovalac obrade je propustio da zaključi standardne ugovorne klauzule s uvoznikom podataka u Republici Srbiji, što znači da se nakon navedenog datuma prenos podataka o ličnosti lica na koja se podaci odnose odvijao bez odgovarajućih zaštitnih mera. Obrađivač obrade iz Republike Srbije mogao je da pristupa celoj SAP CRM bazi i to sa administratorskim ovlašćenjima, a što je značilo da su imali neograničena ovlašćenja za pristup podacima o ličnosti (njih ukupno 847.862) lica na koja se podaci odnose/korisnika usluga rukovaoca obrade, odnosno da su mogli pristupati sledećim podacima o ličnosti korisnika: ime i prezime, OIB, adresa sa lične karte, adresa priključka, adresa za slanje računa, kontakt broj, adresa elektronske pošte, IBAN (kod korisnika sa ugovorenim SEP nalogom za direktno zaduženje), MSISDN (telefonski broj povezan s jednom SIM karticom), ICCID (serijski broj koji identifikuje svaku SIM ili eSIM karticu) te podaci o ugovorenim uslugama korisnika.

Osim toga, rukovalac obrade nije sproveo Procenu rizika za prenos podataka o ličnosti u Republiku Srbiju, a što je bio dužan da učini pre početka prenosa podataka o ličnosti u treću zemlju. Navedena postupanja protivna su odredbi člana 44. u vezi sa članom 46. stavom 1. Opšte uredbe o zaštiti podataka.

O navedenom prenosu u Republiku Srbiju, zemlju izvan Evropskog ekonomskog prostora, rukovalac obrade nije ni informisao lica na koja se podaci odnose, u skladu sa obavezom iz člana 13. stavka 1. tačke (f) Opšte uredbe o zaštiti podataka. Pregledom politika privatnosti utvrđeno je kako rukovalac obrade nije koristio jasne jezičke formulacije da se podaci o ličnosti lica na koja se podaci odnose prenose izvan EEP, već je koristio formulacije poput "možda" će se podaci o ličnosti deliti u treće zemlje ili da se podaci o ličnosti po pravilu obrađuju na području Evropske unije, a samo izuzetno izvan Evropske unije, što je protivno odredbi člana 12. stavka 1. Opšte uredbe o zaštiti podataka.

Nadalje, rukovalac obrade je prekomerno obrađivao podatke o ličnosti svojih zaposlenih odnosno prikupljao je fotokopije njihovih ličnih karti i to protivno odredbi člana 6. stavka 1. te s tim u vezi člana 5. stavka 1. tačke (c) te stavka 2. Opšte uredbe o zaštiti podataka. Dodatna otežavajuća okolnost je i to što je rukovalac obrade zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija ličnih karti s obzirom na sadržaj podataka može smatrati prekomernom obradom podataka o ličnosti (u odnosu na navedenu svrhu).

Isto tako, rukovalac obrade je prikupljao i potvrde o nevođenju krivičnog postupka svojih zaposlenih, a protivno odredbi člana 6. stavka 1. te s tim u vezi člana 5. stavka 1. tačke (b) te stavka 2. Opšte uredbe o zaštiti podataka.

Najzad, obrađivač obrade kojeg je angažovao rukovalac obrade za potrebe usluge telefonske prodaje usluga, nije imao implementirane ni osnovne mere zaštite, a što je rukovalac obrade bio dužan da proveri još pre početka obrade podataka o ličnosti u skladu sa članom 28. stavkom 1. Opšte uredbe o zaštiti podataka, odnosno rukovalac obrade nije sproveo prethodnu kontrolu poštovanja mera zaštite obrađivača obrade pre njegovog angažovanja.

Budući da Evropska komisija za Republiku Srbiju nije donela odluku o primerenosti u smislu člana 45. stavka 3. Opšte uredbe o zaštiti podataka, rukovalac obrade je redovne prenose podataka o ličnosti lica na koja se podaci odnose morao da zasniva na nekom od instrumenata za prenos iz člana 46. (pravno obavezujući instrumenti između javnih tela, obavezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam sertifikacije, ugovorne klauzule te odredbe iz administrativnih dogovora), zaključuje se u saopštenju AZOP-a.

(Telegraf Biznis/Jutarnji.hr)