AZOP je kaznio banku s 1,5 milijuna eura zbog nezakonite obrade podataka korisnika mobilnog bankarstva, ali nije objavio koja je to banka, jer su lopovi u Hrvatskoj očito zaštićeni.
Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu u iznosu od 1,5 milijuna eura jednoj banci zbog višestrukih kršenja odredbi Opće uredbe o zaštiti podataka (GDPR), priopćeno je iz Agencije.
Postupak je pokrenut nakon predstavke klijenta koji je upozorio da aplikacija mobilnog bankarstva prikuplja popis svih instaliranih aplikacija i programa na mobilnom uređaju korisnika. AZOP je potom po službenoj dužnosti proveo nadzor nad obradom osobnih podataka većeg broja ispitanika.
Utvrđeno je da je banka bez valjane pravne osnove obrađivala osobne podatke 433.922 korisnika, kršeći odredbe članka 6. stavka 1. i članka 5. stavka 1. točke a) GDPR-a. U aplikaciju mobilnog bankarstva za Android i Huawei operativne sustave bilo je implementirano programsko rješenje koje je skeniralo sadržaj mobilnih uređaja, prikupljalo i pohranjivalo popis svih instaliranih aplikacija u centraliziranu bazu podataka banke.
AZOP ističe da takva obrada predstavlja prekomjeran i neopravdan upliv u privatnost korisnika, osobito jer nije bila nužna za svrhu mobilnog bankarstva.
Tijekom postupka banka se pozivala na Delegiranu uredbu i Zakon o platnom prometu kao pravnu osnovu za obradu, no Agencija je utvrdila da ti propisi ne opravdavaju prikupljanje niti pohranu popisa svih instaliranih aplikacija na mobilnim uređajima klijenata.
Dodatno, banka prilikom ugovaranja usluge mobilnog bankarstva nije osigurala transparentne informacije o obradi osobnih podataka, čime je prekršila članke 12. i 13. GDPR-a. Iako je korisnicima bila dostupna poveznica s informacijama o zaštiti podataka, one su se odnosile na opće korištenje internetske stranice banke te nisu jasno objašnjavale obradu podataka putem mobilne aplikacije, a posebno ne prikupljanje popisa instaliranih aplikacija.
Agencija je također utvrdila da banka nije primijenila načelo zaštite podataka već u fazi dizajna, jer nije osigurala da se obrađuju isključivo podaci nužni za svrhu obrade, čime je prekršen članak 25. stavak 2. GDPR-a. Kao primjer prihvatljivijeg rješenja, AZOP navodi mogućnost obrade samo aplikacija s tzv. „crne liste“, umjesto pohranjivanja cjelovitog popisa svih instaliranih programa.
U obrazloženju se ističe i da pojedine aplikacije na mobilnim uređajima mogu otkrivati osjetljive osobne podatke, uključujući podatke o zdravlju, političkim ili vjerskim uvjerenjima te seksualnoj orijentaciji, čime se dodatno povećava rizik povrede privatnosti korisnika.
Ovo je trinaesta upravna novčana kazna koju je AZOP izrekao u 2025. godini, a ukupni iznos kazni u ovoj godini dosegao je 6,72 milijuna eura.
Rješenje kojim je kazna izrečena nije pravomoćno, a banka ima pravo pokrenuti upravni spor pred nadležnim upravnim sudom u roku od 30 dana od dana dostave rješenja.
