Διαβίβαση δεδομένων στη Σερβία: 4,5 εκατομμύρια ευρώ πρόστιμο σε τηλεπικοινωνιακό πάροχο της Κροατίας

Πρόστιμο ύψους 4,5 εκατομμυρίων ευρώ επέβαλε η αρχή προστασίας δεδομένων της Κροατίας AZOP σε μεγάλο τηλεπικοινωνιακό πάροχο για σειρά παραβάσεων του Γενικού Κανονισμού Προστασίας Δεδομένων, μεταξύ των οποίων η διαβίβαση δεδομένων εκτός ΕΕ χωρίς τις κατάλληλες εγγυήσεις.

Σύμφωνα με το σκεπτικό της απόφασης, ο υπεύθυνος επεξεργασίας προέβαινε στη διαβίβαση προσωπικών δεδομένων των συνδρομητών του σε εκτελούντα την επεξεργασία εγκατεστημένο στη Σερβία, ήτοι σε εταιρεία του ίδιου ομίλου που είχε αναλάβει τη συντήρηση λογισμικού. Η διαβίβαση αυτή στηριζόταν σε τυποποιημένες συμβατικές ρήτρες έως τις 27 Δεκεμβρίου 2022. Μετά την ημερομηνία αυτή, ωστόσο, δεν είχε συναφθεί νέο έγκυρο εργαλείο διαβίβασης, με αποτέλεσμα η μεταφορά δεδομένων σε τρίτη χώρα εκτός ΕΕ/ΕΟΧ να συνεχίζεται χωρίς τις απαιτούμενες κατάλληλες εγγυήσεις.

Ιδιαίτερα σημαντικό κρίθηκε το εύρος της πρόσβασης που διέθετε ο εκτελών την επεξεργασία στη Σερβία. Όπως διαπιστώθηκε, η εταιρεία αυτή είχε πλήρη και διαχειριστική πρόσβαση στη βάση δεδομένων SAP CRM του παρόχου, γεγονός που της επέτρεπε απεριόριστη πρόσβαση στα προσωπικά δεδομένα 847.862 συνδρομητών. Τα δεδομένα αυτά περιελάμβαναν, μεταξύ άλλων, ονοματεπώνυμο, φορολογικό αριθμό, διεύθυνση κατοικίας, στοιχεία επικοινωνίας, διεύθυνση ηλεκτρονικού ταχυδρομείου, τραπεζικό λογαριασμό IBAN για πελάτες με πάγια εντολή, καθώς και τεχνικά στοιχεία τηλεπικοινωνιακής φύσεως, όπως αριθμούς MSISDN και ICCID και πληροφορίες για τις συμβατικές υπηρεσίες.

Η κροατική αρχή επισήμανε ότι πριν από την έναρξη της διαβίβασης ο υπεύθυνος επεξεργασίας όφειλε να έχει διενεργήσει αξιολόγηση κινδύνου σχετικά με τη μεταφορά δεδομένων στη Σερβία, κάτι που δεν συνέβη. Οι παραλείψεις αυτές κρίθηκε ότι παραβιάζουν το άρθρο 44 σε συνδυασμό με το άρθρο 46 παρ.1 ΓΚΠΔ, δεδομένου ότι η Σερβία δεν καλύπτεται από απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής.

Παράλληλα, η απόφαση διαπίστωσε παραβάσεις των υποχρεώσεων διαφάνειας. Ο υπεύθυνος επεξεργασίας δεν είχε ενημερώσει τα υποκείμενα των δεδομένων για τη διαβίβαση των προσωπικών τους δεδομένων σε χώρα εκτός ΕΟΧ, όπως απαιτεί το άρθρο 13 παρ.1στ’ ΓΚΠΔ. Από την εξέταση των πολιτικών απορρήτου του παρόχου προέκυψε ότι χρησιμοποιούνταν ασαφείς διατυπώσεις, σύμφωνα με τις οποίες τα δεδομένα «ενδέχεται» να διαβιβαστούν σε τρίτες χώρες ή ότι «κατά κανόνα» υποβάλλονται σε επεξεργασία εντός της Ευρωπαϊκής Ένωσης και σε εξαιρετικές περιπτώσεις εκτός αυτής. Η ΑΖΟΡ έκρινε ότι τέτοιες διατυπώσεις δεν πληρούν την απαίτηση σαφούς και κατανοητής ενημέρωσης του άρθρου 12 παρ.1 ΓΚΠΔ.

Περαιτέρω, πλημμέλειες εντοπίστηκαν και ως προς την επεξεργασία δεδομένων εργαζομένων του παρόχου. Αυτό που διαπιστώθηκε όταν ότι ο υπεύθυνος επεξεργασίας συνέλεγε και διατηρούσε αντίγραφα δελτίων ταυτότητας των εργαζομένων του, χωρίς κατάλληλη νομική βάση, κατά παράβαση του άρθρου 6 παρ.1 και των αρχών της ελαχιστοποίησης και της λογοδοσίας του άρθρου 5 ΓΚΠΔ. Ως επιβαρυντικό στοιχείο επισημάνθηκε το γεγονός ότι είχε αγνοηθεί σχετική γνωμοδότηση της υπεύθυνης προστασίας δεδομένων της εταιρείας, η οποία είχε επισημάνει ότι η συλλογή αντιγράφων ταυτοτήτων, λόγω του εύρους των περιεχόμενων πληροφοριών, συνιστά υπέρμετρη επεξεργασία σε σχέση με τον επιδιωκόμενο σκοπό.

Αντίστοιχες διαπιστώσεις έγιναν και για τη συλλογή πιστοποιητικών εργαζομένων περί μη κίνησης ποινικής διαδικασίας, πρακτική που κρίθηκε αντίθετη προς το άρθρο 6 παρ.1 και την αρχή του περιορισμού του σκοπού του άρθρου 5 παρ.1β’ ΓΚΠΔ.

Τέλος, η απόφαση ασχολήθηκε και με τη συνεργασία του παρόχου με εκτελούντα την επεξεργασία για σκοπούς τηλεφωνικής προώθησης υπηρεσιών. Ο συγκεκριμένος συνεργάτης δεν είχε υιοθετήσει ούτε βασικά μέτρα ασφάλειας, γεγονός που όφειλε να είχε διαπιστωθεί από τον υπεύθυνο επεξεργασίας πριν από την έναρξη της επεξεργασίας, σύμφωνα με το άρθρο 28 παράγραφος 1 του ΓΚΠΔ. Η μη διενέργεια προηγούμενου ελέγχου συμμόρφωσης συνιστά, κατά την κροατική αρχή, αυτοτελή παράβαση.