Agencija za zaštitu osobnih podataka (AZOP) potvrdila je da je telekomunikacijskoj kompaniji Telemach Hrvatska izrekla kaznu od 4,5 milijuna eura zbog povreda odredbi Opće uredbe o zaštiti podataka (GDPR). Iz Telemacha odbacuju navode AZOP-a i ističu da su podaci njihovih korisnika sigurni te da nije bilo nikakvog curenja podataka.
Prema AZOP-u, kazna je izrečena nakon postupka provedenog po službenoj dužnosti, a odnosi se na nezakonit transfer osobnih podataka u treće zemlje bez valjanih pravnih instrumenata i bez transparentnog informiranja ispitanika, kao i na nezakonitu obradu kopija osobnih iskaznica zaposlenika te potvrda o nekažnjavanju. Također, utvrđeno je da teleoperater prethodno nije proveo odgovarajuću kontrolu izvršitelja obrade.
Nezakonit prijenos podataka u Srbiju
AZOP navodi da je teleoperater osobne podatke svojih korisnika prenosio izvršitelju obrade u Srbiji, društvu unutar iste grupacije koje je održavalo softver. Ravnatelj AZOP-a, Zdravko Vukić pojašnjava da korisnici nisu bili informirani o prijenosu njihovih podataka izvan EU te da nije riječ o curenju podataka, već o nezakonitom prijenosu.
Prijenos je do kraja 2022. bio pokriven standardnim ugovornim klauzulama, no AZOP tvrdi da nakon tog datuma teleoperater nije sklopio nove, što je rezultiralo daljnjim prijenosom podataka bez propisanih zaštitnih mjera. Zamjenik ravnatelja AZOP-a Igor Vrulje ističe kako je povrijeđeno pravo ispitanika na transparentnu informaciju o obradi njihovih podataka.
Izvršitelj obrade u Srbiji imao je administrativni pristup cijeloj SAP CRM bazi korisnika, uključujući podatke poput imena i prezimena, OIB-a, adresa, kontakt-podataka, IBAN-a, MSISDN i ICCID brojeva te podataka o ugovorenim uslugama. Ukupno je bilo dostupno 847.862 zapisa.
AZOP je također utvrdio da teleoperater nije proveo potrebnu Procjenu rizika prije prijenosa podataka u treću zemlju te da ispitanici nisu bili jasno informirani da se njihovi podaci mogu obrađivati izvan Europskog gospodarskog prostora (EGP).
Prekomjerna obrada podataka zaposlenika
AZOP nadalje navodi kako je teleoperater prikupljao preslike osobnih iskaznica i potvrde o nekažnjavanju zaposlenika, iako za takvu obradu nije imao valjanu pravnu osnovu. Dodatno, operater je ignorirao mišljenje vlastite službenice za zaštitu podataka koja je upozorila na prekomjernu obradu.
U postupku je utvrđeno i da izvršitelj obrade angažiran za telefonsku prodaju nije imao implementirane ni osnovne mjere zaštite, a teleoperater to prije angažmana nije provjerio.
Telemach: “Podaci korisnika nikada nisu napustili Hrvatsku”
Iz Telemacha Hrvatska odbacuju sve navode AZOP-a i tvrde da se osobni podaci korisnika nalaze isključivo u Republici Hrvatskoj te da nije bilo nikakvog prijenosa podataka izvan EU.
„Podaci naših korisnika sigurni su i nisu napuštali Hrvatsku ili EU. Nije bilo nikakvog curenja podataka. Tijekom nadzora surađivali smo s Agencijom i zatečeni smo donesenim rješenjem“, izjavila je za HTV Morana Čulo Jovičić, izvršna direktorica Telemachovog sektora pravnih i regulatornih poslova.
Telemach pojašnjava da je riječ o poslovnoj suradnji unutar United Grupe, pri čemu stručnjaci iz određenih članica ponekad pristupaju sustavima isključivo u tehničke svrhe, pod strogo kontroliranim uvjetima, bez ikakvog prijenosa korisničkih podataka.
Kompanija naglašava da posluje prema najvišim sigurnosnim standardima te posjeduje međunarodne certifikate poput ISO 9001, 27001 i 22301. Najavljuju pokretanje pravnih postupaka zbog, kako tvrde, ugrožavanja ugleda i poslovanja tvrtke.
Najveća kazna koju je AZOP dosad izrekao bila je 5,5 milijuna eura tvrtki EOS Matrix 2023. godine zbog curenja osobnih podataka više od 180.000 građana.
