Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Na een onderzoek, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd voor meerdere overtredingen van de AVG. De verantwoordelijke partij heeft persoonlijke klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten voortgezet zonder SCC's of equivalente waarborgen, ondanks dat Servië geen adequaatheidsbesluit heeft. De Servische verwerker had beheerdersrechten tot de SAP CRM-database van de verantwoordelijke partij, die gegevens van 847.862 personen bevatte, en had toegang tot uitgebreide klantgegevens (waaronder naam, burgerservicenummer, adres, service-/installatie-/factuuradressen, contactgegevens, e-mailadres, IBAN voor gebruikers van automatische incasso via SEPA, MSISDN, ICCID en service-informatie). De verantwoordelijke partij heeft ook geen risicoanalyse uitgevoerd voorafgaand aan de overdrachten. Bovendien heeft de verantwoordelijke partij de betrokkenen niet transparant geïnformeerd over de overdracht van gegevens naar landen buiten de EER, waarbij vage formuleringen zoals "kan" werden gebruikt in privacybeleidsregels in plaats van duidelijk te vermelden dat gegevens buiten de EER worden overgedragen, wat een schending is van de transparantieplicht. Apart daarvan, heeft de verantwoordelijke partij onnodig veel persoonsgegevens van werknemers verwerkt door kopieën van identiteitskaarten en verklaringen van geen lopende strafrechtelijke procedures te verzamelen, zonder een geldige juridische basis en in strijd met de principes van dataminimalisatie en doelbegrenzing; opmerkelijk genoeg negeerde het de mening van de functionaris voor gegevensbescherming (DPO) die dergelijke verzameling als excessief had aangemerkt. Ten slotte heeft de verantwoordelijke partij geen voorafgaande controles uitgevoerd op de beveiligingsmaatregelen van een processor voor telemarketing en heeft een processor ingehuurd die zelfs niet beschikte over basisbeschermingsmaatregelen, wat een schending is van artikel 28(1) van de AVG.

AVG-artikelen: Art. 5 (1) b), c), (2) AVG, Art. 6 (1) AVG, Art. 12 (1) AVG, Art. 13 (1) f) AVG, Art. 28 (1) AVG, Art. 44 AVG, Art. 46 (1) AVG
Sector: Media, telecommunicatie en uitzending.

Deze inhoud is automatisch vertaald met behulp van machinevertaling. De originele versie is beschikbaar in de brontaal.