Agencija za zaštitu osobnih podataka (AZOP) izrekla je rekordnu upravnu kaznu od 4,5 milijuna eura telekom operateru Telemachu zbog povreda Opće uredbe o zaštiti podataka (GDPR). Prema rješenju, osobni podaci gotovo milijun korisnika – od imena i adrese do OIB-a, broja SIM kartice i IBAN-a – bili su dostupni zaposlenicima u Srbiji bez valjanog pravnog temelja i bez jasnog informiranja korisnika.
AZOP navodi da Telemach nije proveo procjenu rizika prije prijenosa podataka u treću zemlju, niti je imao pravnu osnovu za pohranu preslika osobnih iskaznica i potvrda o nekažnjavanju svojih radnika. Kazna je tek privremena: Telemach je najavio žalbu Upravnom sudu, pa odluka još nije pravomoćna.
Tvrtka odbacuje optužbe: „Nikakvog curenja podataka nije bilo”, poručuju, tvrdeći da se sustavu pristupalo „isključivo u tehničke svrhe i pod točno određenim sigurnosnim uvjetima” unutar matične United Grupe te da su svi podaci ostali pohranjeni u Hrvatskoj.
Dug put do odštete
AZOP podsjeća kako osobe koje su pretrpjele štetu mogu tražiti naknadu pred općinskim sudovima, jer „svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja Uredbe ima pravo na naknadu od voditelja obrade”. Za razliku od SAD-a, hrvatski pravni sustav ne poznaje kolektivne tužbe, pa svaki oštećeni mora tužiti pojedinačno.
Informatički stručnjak Lucijan Carić upozorava da građani nose teret dokazivanja: „U slučaju pokretanja sudskog postupka teret dokaza je na tužitelju, dakle građani moraju dokazati da su zbog curenja njihovih podataka pretrpjeli materijalnu i/ili nematerijalnu štetu.” Smatra i da europski sustav, bez kaznenih odšteta, često ostavlja građane bez stvarne satisfakcije.
Kolega Marko Rakar drži da je riječ prije svega o administrativnom propustu: „Ako se složimo s tvrdnjama Telemacha... nikakvog sigurnosnog incidenta nije bilo pa stoga ne možemo govoriti niti o curenju podataka.” Po njemu, kazna bi se u žalbenom postupku mogla smanjiti, premda pozdravlja visoke novčane iznose kao signal ozbiljnosti obveza.
Podsjetnik na američki presedan
Slučaj podsjeća na nedavnu nagodbu u kojoj je Meta isplatila 725 milijuna dolara korisnicima Facebooka zbog nezakonitog dijeljenja podataka s tvrtkom Cambridge Analytica. Tada je odštetu – prosječno 29,5 dolara po osobi – dobilo 17 milijuna ljudi, uključujući i neke hrvatske korisnike. Hrvatski građani u slučaju Telemacha, međutim, nemaju mehanizam kolektivne tužbe i mogu računati samo na individualne postupke koji bi, upozoravaju stručnjaci, mogli potrajati godinama.
Hoće li Upravni sud potvrditi kaznu i hoće li se korisnici odlučiti na tužbe, zasad ostaje otvoreno. Dok AZOP stoji pri nalazu, Telemach uvjerava da su „podaci korisnika sigurni” i da „nikakvog curenja nije bilo”.