Bruka United Grupe: Telemach kažnjen sa 4.5 miliona € jer je inostranoj firmi dao administratorski pristup podacima 900.000 korisnika

Hrvatska agencija za zaštitu osobnih podataka (AZOP) izrekla je jednu od najvećih kazni u istoriji telekomunikacija u regionu. Telemach Hrvatska, članica United Grupe, mora da plati čak 4.5 miliona evra. Razlog nije tehnička greška, već serija teških, gotovo neshvatljivih propusta u rukovanju podacima skoro 900.000 korisnika.

Glavni prekršaj, prema nalazu AZOP-a, odnosi se na transfer ličnih podataka korisnika u Republiku Srbiju, bez ikakvog validnog pravnog osnova. Regulator navodi da je Telemach od kraja 2022. godine to činio bez potpisivanja obaveznih standardnih ugovornih klauzula (SCC), koje su minimum za prenos podataka van EU.

Ali, ovde priča postaje mnogo ozbiljnija. Nije reč o nekom delimičnom "uvidu". Firma iz Srbije, koja je takođe deo grupacije i koja je radila na održavanju softvera, imala je puna administratorska ovlašćenja. Mogli su da pristupe kompletnoj SAP CRM bazi podataka. Prevedeno: imali su na dlanu imena, prezimena, OIB (osobni identifikacioni broj), adrese stanovanja, adrese priključka, brojeve telefona, e-mail adrese, pa čak i brojeve računa korisnika koji imaju ugovoreno direktno terećenje.

AZOP-ov nalaz otkriva i potpuni organizacioni haos unutar operatora. Telemach nije sproveo obaveznu procenu rizika za ovakav prenos podataka u zemlju koja nije članica EU. Korisnici o ovome, naravno, nisu bili jasno obavešteni; u politikama privatnosti koristile su se nejasne i manipulativne formulacije poput "možda" će se podaci deliti sa trećim zemljama.

Povrh svega, utvrđeno je da je Telemach protivzakonito obrađivao i podatke sopstvenih zaposlenih. Regulator navodi da su prikupljali kopije ličnih karata i uverenja o nekažnjavanju bez pravnog osnova. Ironično, AZOP ističe da je kompanija to činila uprkos jasnom upozorenju sopstvenog Službenika za zaštitu podataka (DPO) da je takva praksa prekomerna i nezakonita.

Reakcija Telemach-a, odnosno United Grupe, je u najmanju ruku zanimljiva. Tvrde da su "zatečeni" odlukom i oštro je odbacuju. Njihova linija odbrane svodi se na to da "podaci nisu prosljeđivani izvan Hrvatske" i da "nije bilo curenja".

Po GDPR regulativi, omogućen pristup podacima iz treće zemlje (Srbije) jeste transfer, bez obzira da li su podaci fizički "kopirani" ili ne. Opravdanje da je reč o "tehničkom održavanju" unutar Grupe očigledno nije ubedilo hrvatskog regulatora, koji je takav pristup bez ugovora, procene rizika i transparentnosti smatrao grubim kršenjem zakona.

Kazna od 4.5 miliona evra nije samo finansijski udarac. Ona razotkriva ozbiljan nemar i potencijalno svesno zaobilaženje osnovnih postulata zaštite privatnosti korisnika unutar sistema United Grupe. Tvrdnja da su "zatečeni" odlukom regulatora posle ovakvog niza propusta deluje kao loša strategija, a ne kao argument ozbiljne kompanije.