Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu od 4,5 milijuna eura jednom teleoperatoru zbog teških povreda Opće uredbe o zaštiti podataka (GDPR), priopćeno je u petak. Postupanje operatora ugrozilo je osobne podatke gotovo 900 tisuća korisnika.

AZOP navodi kako je teleoperator bez valjanog pravnog temelja prenosio osobne podatke korisnika izvršitelju obrade u Srbiji, pri čemu ispitanici nisu bili jasno i transparentno informirani da se njihovi podaci šalju izvan Europskog gospodarskog prostora. Nakon prosinca 2022. nije postojala ni standardna ugovorna klauzula koja bi osigurala zaštitu podataka, pa se prijenos odvijao bez adekvatnih mjera.

Izvršitelj obrade u Srbiji imao je pristup cijeloj SAP CRM bazi – uključujući imena, adrese, OIB-e, IBAN-e, e-mail adrese, telefonske brojeve, serijske brojeve SIM kartica te podatke o ugovorenim uslugama ukupno 847.862 korisnika.

Utvrđeno je i da teleoperator nije proveo zakonom obveznu procjenu rizika prije prijenosa podataka u treću zemlju, niti je u politikama privatnosti jasno naveo da se podaci prenose izvan EU.

Osim toga, operater je prekomjerno obrađivao osobne podatke zaposlenika, prikupljajući preslike osobnih iskaznica i potvrde o nekažnjavanju iako je interna službenica za zaštitu podataka ranije upozorila da je takva praksa protivna GDPR-u.

AZOP navodi i kako je jedan od angažiranih izvršitelja za telefonsku prodaju usluga radio bez osnovnih sigurnosnih mjera, a teleoperator nije proveo propisanu prethodnu provjeru.

Teleoperator o kojem je riječ nije imenovan u objavi regulatora.