Hrvatskoj telekomunikacijskoj kompaniji izrečena kazna od 4,5 miliona eura zbog slanja podataka korisnika u Srbiju
Podijeli vijest
Agencija za zaštitu ličnih podataka izrekla je novčanu kaznu od 4,5 miliona eura jednom hrvatskom telekomunikacijskom operatoru zbog ozbiljnih povreda Opšte uredbe o zaštiti podataka. Ovim prekršajima bili su ugroženi lični podaci gotovo 900 hiljada korisnika usluga.
Nezakonit transfer podataka u inostranstvo
Prema službenoj objavi agencije, telekomunikacijska kompanija je nezakonito prenosila podatke svojih korisnika u Republiku Srbiju. Transfer se odvijao bez odgovarajućeg pravnog osnova i bez adekvatnog informisanja korisnika o tome gdje se njihovi podaci obrađuju.
Prenos podataka temeljio se na standardnim ugovornim klauzulama od aprila 2020. godine, međutim kompanija je propustila obnoviti ovaj pravni osnov nakon 27. decembra 2022. godine. Nakon tog datuma, prijenos podataka nastavljen je bez ikakvih zaštitnih mjera.
Pristup osjetljivim podacima
Izvršitelj obrade podataka iz Srbije imao je administratorske ovlasti i neograničen pristup bazi podataka koja je sadržavala 847.862 zapisa. Ovlaštenja su mu omogućavala pristup brojnim osjetljivim informacijama, uključujući imena i prezimena korisnika, matične brojeve, adrese stanovanja, kontakt telefone, e-mail adrese, bankovne račune i podatke o ugovorenim uslugama.
Nedostaci u informisanju korisnika
Telekomunikacijski operator nije ispunio obavezu transparentnog informisanja korisnika o prenosu njihovih podataka izvan Evropskog gospodarskog prostora. Umjesto jasnih obavještenja, kompanija je koristila nejasne formulacije u svojoj politici privatnosti, navodeći da se podaci ‘možda’ dijele sa trećim zemljama.
Prekomjerno prikupljanje podataka zaposlenika
Osim problema sa podacima korisnika, kompanija je nezakonito prikupljala i podatke svojih zaposlenika. Radilo se o prekomjernoj obradi ličnih podataka, uključujući skenirane kopije ličnih iskaznica i potvrda o nevođenju krivičnog postupka. Zanimljivo je da je kompanija zanemarila i mišljenje svoje službenice za zaštitu podataka, koja je upozorila na nezakonitost ovakvog postupanja.
Nedostatak prethodne kontrole
Konačno, utvrđeno je da operator nije proveo odgovarajuću prethodnu kontrolu izvršitelja obrade podataka prije njegovog angažovanja. Izvršitelj obrade u Srbiji nije imao implementirane čak ni osnovne mjere zaštite podataka, što je dodatno pogoršalo situaciju sa bezbjednošću ličnih podataka korisnika.
