JEDNA je banka u Hrvatskoj kažnjena s čak 1,5 milijuna eura zbog višestrukog kršenja Opće uredbe o zaštiti podataka (GDPR), a kaznu joj je izrekla Agencija za zaštitu osobnih podataka (AZOP). Utvrđeno je da je banka putem svoje aplikacije za mobilno bankarstvo prikupljala popise svih instaliranih aplikacija s mobilnih uređaja klijenata, bez valjane pravne osnove i bez da ih je o tome jasno obavijestila, javlja Agencija za zaštitu osobnih podataka.

AZOP nije objavio o kojoj banci se radi. 

Istraga pokrenuta nakon prijave korisnika

Postupak je pokrenut po službenoj dužnosti nakon što se Agenciji obratio klijent banke koji je primijetio da aplikacija za mobilno bankarstvo prikuplja podatke o svim programima i aplikacijama instaliranima na njegovom mobitelu. To je upalilo alarm u AZOP-u, koji je pokrenuo istragu zbog sumnje na nezakonitu obradu podataka velikog broja korisnika.

Pogođeno više od 430.000 klijenata

Istragom je utvrđeno da je banka na ovaj način obrađivala osobne podatke čak 433.922 korisnika. Programsko rješenje unutar aplikacije za mobilno bankarstvo, namijenjeno Android i Huawei uređajima, skeniralo je sadržaj mobitela te potom prenosilo i pohranjivalo popis svih instaliranih aplikacija u centralnu bazu podataka banke. AZOP je takvu praksu ocijenio kao "izrazit, prekomjeran i neopravdan upliv u privatnost".

Banka se branila, ali bezuspješno

Tijekom postupka, banka se pokušala opravdati tvrdnjom da pravnu osnovu za takvo prikupljanje podataka crpi iz Delegirane uredbe i Zakona o platnom prometu. Međutim, Agencija je utvrdila da navedeni propisi ne sadrže nikakvu formulaciju, pa ni namjeru, koja bi opravdala prikupljanje i pohranu popisa svih aplikacija s uređaja korisnika. Dodatan problem bio je i potpuni izostanak transparentnosti. Korisnici prilikom ugovaranja usluge nisu dobili jasne informacije o ovakvoj obradi podataka, a one dostupne bile su šture i nisu je spominjale, zbog čega je cijeli proces, kako navodi AZOP, održan "praktički u tajnosti".

Ignorirano načelo "manje je više"

Agencija je također zaključila da banka nije poštovala načelo integrirane zaštite podataka, koje nalaže da se obrađuju samo nužni podaci. Umjesto da prikuplja popis svih aplikacija, banka je, smatra AZOP, mogla i morala implementirati rješenje koje manje zadire u privatnost. Kao primjer navodi se rješenje koje bi pohranjivalo samo informacije o aplikacijama koje se nalaze na "crnoj listi" zbog sigurnosnih rizika. Posebno je zabrinjavajuće, ističe se, što popis instaliranih aplikacija može otkriti i vrlo osjetljive osobne podatke, poput onih o zdravlju, političkim ili vjerskim uvjerenjima te seksualnoj orijentaciji.

Ovo je trinaesta kazna koju je AZOP izrekao u 2025. godini, a ukupan iznos izrečenih kazni time se popeo na 6,72 milijuna eura. Važno je napomenuti da rješenje o kazni još nije pravomoćno te banka ima rok od 30 dana za pokretanje upravnog spora pred nadležnim sudom.