17.8 C
Dubrovnik
Petak, 14 studenoga, 2025
HomeVijestiHrvatski teleoperator slao osobne podatke o pretplatnicima u Srbiju, AZOP ga kaznio...
Vijesti

Hrvatski teleoperator slao osobne podatke o pretplatnicima u Srbiju, AZOP ga kaznio s 4,5 milijuna eura

Dubrovnik Net
Dubrovnik Net
0

Nakon postupka koji je proveden po službenoj dužnosti, Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu teleoperatoru (operatoru elektroničkih komunikacijskih mreža i usluga), kao voditelju obrade, u ukupnom iznosu od 4.500.000 eura zbog povreda odredaba Opće uredbe o zaštiti podataka i to u pogledu transfera osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade. Objavila je to Agencija na svojim stranicama danas ne navodeći o kojem se hrvatskom teleoperateru radi.

Voditelj obrade prenosio je osobne podatke svojih korisnika uvozniku podataka (izvršitelju obrade) u Republici Srbiji (društvu unutar grupacije koje je održavalo softver) te je prijenos temeljio na standardnim ugovornim klauzulama od 16.04.2020. do najkasnije 27.12.2022. godine. Međutim, nakon navedenog datuma voditelj obrade je propustio sklopiti standardne ugovorne klauzule* s izvršiteljem obrade u Republici Srbiji, što znači da se nakon navedenog datuma prijenos osobnih podataka ispitanika odvijao bez odgovarajućih zaštitnih mjera. Izvršitelj obrade iz Republike Srbije mogao je pristupati cijeloj SAP CRM bazi i to s administratorskim ovlastima, a što je značilo da je imao neograničene ovlasti pristupu osobnim podacima (njih ukupno 847.862) ispitanika/korisnika usluga voditelja obrade, odnosno da je mogao pristupati sljedećim osobnim podacima korisnika: ime i prezime, OIB, adresa s osobne iskaznice, adresa priključka, adresa za slanje računa, kontakt broj, adresa elektroničke pošte, IBAN (kod korisnika s ugovorenim SEP nalogom za izravno terećenje), MSISDN (telefonski broj povezan s jednom SIM karticom), ICCID (serijski broj koji identificira svaku SIM ili eSIM karticu) te podaci o ugovorenim uslugama korisnika. Osim toga, voditelj obrade nije proveo Procjenu rizika za prijenos osobnih podataka u Republiku Srbiju, a što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju. Navedena postupanja protivna su odredbi članka 44. u vezi s člankom 46. stavkom 1. Opće uredbe o zaštiti podataka.

O navedenom prijenosu u Republiku Srbiju, zemlju izvan Europskog gospodarskog prostora, voditelj obrade nije niti informirao ispitanike, sukladno obvezi iz članka 13. stavka 1. točke (f) Opće uredbe o zaštiti podataka. Pregledom politika privatnosti utvrđeno je kako voditelj obrade nije koristio jasne jezične formulacije da se osobni podaci ispitanika prenose izvan EGP, već je koristio formulacije poput „možda“ će se osobni podaci dijeliti u treće zemlje ili da se osobni podaci u pravilu obrađuju na području Europske unije, a samo iznimno izvan Europske unije, što je protivno odredbi članka 12. stavka 1. Opće uredbe o zaštiti podataka.

Nadalje, voditelj obrade prekomjerno je obrađivao osobne podatke svojih zaposlenika odnosno prikupljao je preslike njihovih osobnih iskaznica i to protivno odredbi članka 6. stavka 1. te s tim u svezi članka 5. stavka 1. točke (c) te stavka 2. Opće uredbe o zaštiti podataka. Dodatna otegotna okolnost je i to što je voditelj obrade zanemario mišljenje svoje službenice za zaštitu podataka, koja je izdala mišljenje kako se prikupljanje kopija osobnih iskaznica s obzirom na sadržaj podataka može smatrati prekomjernom obradom osobnih podataka (odnosnim na navedenu svrhu).

Isto tako, voditelj obrade je prikupljao i potvrde o ne vođenju kaznenog postupka svojih zaposlenika, a protivno odredbi članka 6. stavka 1. te s tim u svezi članka 5. stavka 1. točke (b) te stavka 2. Opće uredbe o zaštiti podataka.

Naposljetku, izvršitelj obrade kojeg je angažirao voditelj obrade za potrebe usluge telefonske prodaje usluga, nije imao implementirane niti osnovne mjere zaštite, a što je voditelj obrade bio dužan provjeriti još prije početka obrade osobnih podataka sukladno članku 28. stavku 1. Opće uredbe o zaštiti podataka, odnosno voditelj obrade nije proveo prethodnu kontrolu poštivanja mjera zaštite izvršitelja obrade prije njegova angažiranja.

*Budući da Europska komisija za Republiku Srbiju nije donijela odluku o primjerenosti u smislu članka 45. stavka 3. Opće uredbe o zaštiti podataka, voditelj obrade je redovite prijenose osobnih podataka ispitanika morao temeljiti na nekom od instrumenata za prijenos iz članka 46. (pravno obvezujući instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora).

Previous article
Dubrovački vrtićarci u Valamarovu Maro Worldu na Babinom kuku
Next article
Čilipski mališani uživali u predstavi udruge Aster

Iz teme

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Danas objavljeno

Load more

Dubrovnktv.net

Najnoviji komentari

Stipe on Pokopani posmrtni ostaci Jean-Michaela Nicoliera
Vice on EKSKLUZIVNO Hotel Zagreb ima novog, dubrovačkog vlasnika! Do ljeta otvara heritage hotel s jedinstvenom ponudom
Vedran Urličić on DPDS: kreće obnova kule Drezvenik na kojoj ćemo otvoriti novi ulaz za gradske zidine
Nevistić on EKSKLUZIVNO Hotel Zagreb ima novog, dubrovačkog vlasnika! Do ljeta otvara heritage hotel s jedinstvenom ponudom
Marijana Ercegović on Radi li novi Hotel Sumratin? Gosta ima, kategorizacije nema

KOMENTAR TJEDNA

UREDNIČKI IZBOR

NAJPOPULARNIJI ČLANCI

NAJKATEGORIJE

ZAPRATITE NAS

© Dubrovniknet.hr 2019

Impressum - Marketing - Kontakti - Opći uvjeti korištenja - DUBROVNIKNET ARHIVA