Agencija za zaštitu osobnih podataka (AZOP) izrekla je teleoperatoru upravnu novčanu kaznu od 4,5 milijuna eura, drugu najveću u svojoj povijesti. Kazna je rezultat višestrukog kršenja Opće uredbe o zaštiti podataka (GDPR), ponajprije zbog nezakonitog prijenosa osobnih podataka korisnika u treću zemlju te prekomjerne obrade dokumentacije zaposlenika.
Prema nalazima AZOP-a, operator je od 16. travnja 2020. do 27. prosinca 2022. prenosio podatke gotovo 848 tisuća korisnika društvu iz iste grupacije sa sjedištem u Srbiji, koje je održavalo njihov CRM softver. Nakon isteka standardnih ugovornih klauzula, prijenos se nastavio bez ikakvog pravnog instrumenta, a srpski izvršitelj mogao je s administratorskim ovlastima pristupati cijeloj bazi. Time su bili izloženi osobni podaci poput imena i prezimena, OIB-a, adresa, telefonskih brojeva, e-pošte, IBAN-a te podataka o ugovorenim uslugama.
AZOP ističe da voditelj obrade nije proveo procjenu rizika prije prijenosa niti je korisnike transparentno informirao o činjenici da se njihovi podaci šalju izvan Europskog gospodarskog prostora. U politikama privatnosti stajale su neodređene formulacije da se podaci „možda” dijele u treće zemlje ili „u pravilu” obrađuju unutar EU, što Agencija smatra suprotnim zahtjevima GDPR-a za jasnim i nedvosmislenim obavještavanjem.
Dodatni prekršaj odnosi se na zaposlenike: teleoperator je bez pravne osnove prikupljao preslike osobnih iskaznica te potvrde o nekažnjavanju, zanemarujući pritom upozorenje vlastite službenice za zaštitu podataka da je riječ o prekomjernoj obradi.
Osim financijske kazne, AZOP je naložio operateru da uskladi procese obrade s europskim i hrvatskim propisima, sklopi valjane mehanizme zaštite pri svakom budućem prijenosu podataka u treće zemlje te dosljedno i jasno informira sve ispitanike o tome gdje i kako se njihovi podaci obrađuju.