Nakon što je Agencija za zaštitu osobnih podataka (AZOP) danas izrekla novčanu kaznu od 4,5 milijuna eura zbog teških povreda Opće uredbe o zaštiti podataka (GDPR) jednom teleoperateru, što je druga najveća kazna u hrvatskoj povijesti, doznalo se da je riječ o teleoperatoru Telemach.
AZOP navodi da je glavni problem bio prijenos osobnih podataka Telemachovih korisnika, njih 850 tisuća, u Srbiju, odnosno u zemlju izvan Europskog gospodarskog prostora. Riječ je o podacima poput imena i prezimena, OIB-a, adresa, broja mobitela, e-mail adrese, IBAN-a i podataka o ugovorenim uslugama. Telemach nije proveo ni potrebnu procjenu rizika prijenosa u treću zemlju prije početka prijenosa, što je bio dužan učiniti.
Pritom, objašnjavaju, korisnici nisu bili jasno informirani da se njihovi podaci prenose u Srbiju nego su u politikama privatnosti korištene neodređene formulacije poput da se podaci "možda" šalju u treće zemlje ili da se "u pravilu" obrađuju u EU, što nije dovoljno transparentno.
Prikupljali i podatke zaposlenika
Uz to, Telemach je, tvrde, prekomjerno prikupljao podatke zaposlenika, uzimajući preslike osobnih iskaznica bez pravne osnove i ignorirajući upozorenje svoje službenice za zaštitu podataka da je takva obrada pretjerana. Od zaposlenika je tražio i potvrde o nevođenju kaznenog postupka iako za to također nije imao jasan pravni temelj prema GDPR-u. Na kraju, kod tvrtke koju su angažirali za telefonsku prodaju, Telemach nije proveo provjeru mjera zaštite niti osigurao da imaju barem osnovne sigurnosne mjere, što je još jedno ozbiljno kršenje obveza GDPR-a.
Na to su se očitovali iz Telemacha navodeći da "oštro odbacuju navode objavljene na internetskoj stranici AZOP-a i pojedinim medijima te najavljuje da će poduzeti sva raspoloživa pravna sredstva u svrhu zaštite prava, integriteta i reputacije kompanije".
- U slučaju koji navodi AZOP nije došlo do povrede podataka. Podaci nisu prosljeđivani izvan Hrvatske niti EU-a te su pohranjeni isključivo na području Republike Hrvatske, sigurni su i nije bilo nikakvog curenja. Naime, riječ je o poslovnoj suradnji unutar United Grupe, u čijem sastavu posluje i Telemach.
Kompanije, koje su dio Grupe, sudjeluju u održavanju i razvoju poslovnih sustava, što u određenim situacijama uključuje pristup pojedinih stručnjaka izvan Hrvatske navedenim sustavima. Sustavu se pristupalo isključivo u tehničke svrhe i pod točno određenim sigurnosnim uvjetima. Poslovne funkcije koje se odvijaju na razini United Grupe ne uključuju prijenos korisničkih podataka, već isključivo tehnički nadzor i razvoj sustava u strogo kontroliranim uvjetima te u skladu s najboljim tehničko-sigurnosnim europskim standardima. Napominjemo, svi korisnički podaci pohranjeni su i zaštićeni u Republici Hrvatskoj – stoji u priopćenju Telemacha.
‘Podaci korisnika su sigurni‘
Inače, Telemach Hrvatska je telekom tvrtka u vlasništvu United Grupe sa sjedištem u Nizozemskoj. United Group je većinski u vlasništvu fonda BC Partners. U Hrvatskoj posluju od 2005. godine, prvo pod imenom Tele2, a onda od 2021. pod brendom Telemach. Nude mobilnu telefoniju, fiksni internet i optiku, TV usluge, a 2023. su imali oko 1,1 milijun korisnika u Hrvatskoj, prema vlastitim podacima.
Iz Telemacha su, u odgovoru AZOP-u, još napomenuli da posluju u visoko reguliranom telekom sektoru, u skladu s najvišim standardima zaštite podataka, da redovito provodi revizije i edukacije te imaju sve ISO certifikate, kao i posebnu službu i politike za zaštitu osobnih podataka te godišnje procjene rizika. Navode osim toga da su tijekom nadzora bili potpuno transparentni i suradljivi te da ih je iznenadio način dostave rješenja, za koji tvrde da nije u skladu s propisima i da im šteti ugledu i poslovanju, pa će iskoristiti sva pravna sredstva. Ponovno naglašavaju da su podaci korisnika sigurni te da nikad nije bilo zloporabe ni curenja podataka.
Podsjetimo, AZOP, kao agencija za provedbu GDPR-a ima pravo novčano kažnjavati sve tvrtke kod kojih nađe nepravilnosti i neusklađenosti s tom europskom uredbom. Tako su najveću kaznu od 5,47 milijuna eura lani izrekli tvrtki EOS Matrix zbog teških kršenja Uredbe o zaštiti osobnih podataka, uključujući nepropisno praćenje zdravstvenog stanja dužnika.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....