Iz Agencije za zaštitu osobnih podataka (AZOP) izvijestili su o novoj upravnoj novčanoj kazni, izrečenoj jednoj banci u Hrvatskoj, zbog otkrivenog višestrukog kršenja odredbi Opće uredbe o zaštiti podataka (GDPR). Do otkrića je došlo nakon zaprimanja predstavke jednog korisnika te banke, koji je naveo da se prilikom korištenja mobilnog bankarstva prikupljaju popisi svih instaliranih aplikacija i programa na mobilnim uređajima klijenata.

Provjeravali instalirane aplikacije

AZOP je na temelju toga pokrenuo postupak po službenoj dužnosti zbog moguće aktivnosti obrade koja nije u skladu s odredbama Opće uredbe o zaštiti podataka u odnosu na veći broj ispitanika. Utvrđeno je da banka obrađuje osobne podatke 433.922 korisnika putem programskog rješenja implementiranog unutar aplikacije mobilnog bankarstva bez pravne osnove.

Konkretno, banka je implementirala program unutar aplikacije mobilnog bankarstva za Android i Huawei operativne sustave, koji skenira sadržaj mobilnog uređaja te prenosi i pohranjuje, između ostaloga, popis svih instaliranih aplikacija i programa u centraliziranu bazu podataka banke, što predstavlja izraziti, prekomjeran i neopravdan upliv u privatnost.

Tijekom nadzornog postupanja banka je navodila kako pravna osnova za prikupljanje popisa svih instaliranih aplikacija i programa proizlazi iz Delegirane uredbe, kao i Zakona o platnom prometu, a koji ne sadrže formulaciju, niti intenciju koja bi opravdala prikupljanje, odnosno pohranjivanje popisa svih instaliranih aplikacija na mobilnom uređaju ispitanika.

Tri prekršaja

Nadalje, prilikom ugovaranja usluge mobilnog bankarstva banka nije pružila transparentne informacije korisnicima o obradi njihovih osobnih podataka, što predstavlja drugi prekršaj. Naposljetku, prilikom izbora odnosno dizajniranja programskog rješenja banka nije provodila odgovarajuće tehničke i organizacijske mjere kojima se osigurava da na integrirani način budu obrađeni samo osobni podaci koji su nužni za svrhu obrade, što je opisano kao treći prekršaj.

"Banka je mogla i morala implementirati rješenje koje manje zadire u privatnost ispitanika, primjerice rješenje koje bi centralizirano pohranjivalo samo informacije o aplikacijama koje su na 'crnoj listi' čime bi se u manjoj mjeri zadiralo u privatnost ispitanika, a ne popis svih instaliranih programa i aplikacija na mobilnom uređaju", kažu iz AZOP-a pri određivanju jedinstvene kazne u visini od 1.500.000 eura. Kazna je nepravomoćna, a kažnjeni subjekt može pokrenuti upravni spor pred nadležnim upravnim sudom u roku od 30 dana od dana dostave rješenja.

Ovo je trinaesta upravna novčana kazna koju je Agencija izrekla u 2025. godini, pri čemu ukupan iznos kazni u ovoj godini iznosi 6.723.000 eura.