Kazna teleoperateru iznodi 4,5 milijuna eura, međutim nije poznato tko je taj teleoperater
Jednom teleoperatoru (operatoru elektroničkih komunikacijskih mreža i usluga, Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu kao i voditelju obrade, u ukupnom iznosu od 4,5 milijuna eura zbog povreda odredaba Opće uredbe o zaštiti podataka i to u pogledu transfera osobnih podataka u treće zemlje bez valjanog instrumenta i bez transparentnog informiranja ispitanika, te obrade preslika osobnih iskaznica i uvjerenja o ne vođenju kaznenog postupka zaposlenika bez pravne osnove, kao i nepoduzimanja odgovarajuće prethodne kontrole izvršitelja obrade, izvješćuju na svojim stranicama.
Voditelj obrade prenosio je osobne podatke svojih korisnika uvozniku podataka (izvršitelju obrade) u Republici Srbiji (društvu unutar grupacije koje je održavalo softver) te je prijenos temeljio na standardnim ugovornim klauzulama od 16.04.2020. do najkasnije 27.12.2022. godine. Međutim, nakon navedenog datuma voditelj obrade je propustio sklopiti standardne ugovorne klauzule* s izvršiteljem obrade u Republici Srbiji, što znači da se nakon navedenog datuma prijenos osobnih podataka ispitanika odvijao bez odgovarajućih zaštitnih mjera. Izvršitelj obrade iz Republike Srbije mogao je pristupati cijeloj SAP CRM bazi i to s administratorskim ovlastima, a što je značilo da je imao neograničene ovlasti pristupu osobnim podacima (njih ukupno 847.862) ispitanika/korisnika usluga voditelja obrade, odnosno da je mogao pristupati sljedećim osobnim podacima korisnika: ime i prezime, OIB, adresa s osobne iskaznice, adresa priključka, adresa za slanje računa, kontakt broj, adresa elektroničke pošte, IBAN (kod korisnika s ugovorenim SEP nalogom za izravno terećenje), MSISDN (telefonski broj povezan s jednom SIM karticom), ICCID (serijski broj koji identificira svaku SIM ili eSIM karticu) te podaci o ugovorenim uslugama korisnika. Osim toga, voditelj obrade nije proveo Procjenu rizika za prijenos osobnih podataka u Republiku Srbiju, a što je bio dužan učiniti prije početka prijenosa osobnih podataka u treću zemlju. Navedena postupanja protivna su odredbi članka 44. u vezi s člankom 46. stavkom 1. Opće uredbe o zaštiti podataka.
