Hrvatskoj banci izrečena novčana kazna od 1,5 miliona eura
Hrvatska Agencija za zaštitu ličnih podataka (AZOP) izrekla je banci, u svojstvu rukovaoca obrade, upravnu novčanu kaznu u ukupnom iznosu od 1.500.000 eura zbog višestrukih povreda odredbi Opšte uredbe o zaštiti podataka (GDPR). Ipak, rješenje još nije pravosnažno, banka ima pravo da pokrene upravni spor.
Iz Agencije navode da su, nakon prijema predstavke jednog ispitanika koji je naveo da se prilikom korišćenja mobilnog bankarstva prikupljaju spiskovi svih instaliranih aplikacija i programa na mobilnim uređajima klijenata, po službenoj dužnosti pokrenuli postupak zbog moguće obrade podataka koja nije u skladu s odredbama Opšte uredbe o zaštiti podataka, a koja se odnosi na veći broj ispitanika.
Nije navedeno o kojoj se banci radi.
Aplikacija koja je znala previše
Utvrđeno je da banka obrađuje lične podatke 433.922 ispitanika (korisnika) putem softverskog rješenja implementiranog u aplikaciju mobilnog bankarstva, bez postojanja pravnog osnova iz člana 6 stav 1 u vezi s članom 5 stav 1 tačka a Opšte uredbe o zaštiti podataka. Konkretno, banka je u aplikaciju mobilnog bankarstva za Android i Huawei operativne sisteme ugradila program koji skenira sadržaj mobilnog uređaja i prenosi, te između ostalog i čuva, spisak svih instaliranih aplikacija i programa u centralizovanu bazu podataka banke, što predstavlja izraženo, prekomjerno i neopravdano zadiranje u privatnost.
Tokom nadzornog postupka banka je navodila da pravni osnov za prikupljanje spiska svih instaliranih aplikacija i programa proizlazi iz Delegirane uredbe, kao i Zakona o platnom prometu, ali u tim propisima ne postoji formulacija, niti namjera, koja bi opravdala prikupljanje, odnosno čuvanje spiska svih instaliranih aplikacija na mobilnom uređaju ispitanika.
Dalje, prilikom ugovaranja usluge mobilnog bankarstva, banka korisnicima nije obezbijedila transparentne informacije o obradi njihovih ličnih podataka, čime nije ispunila zahtjeve iz članova 12 i 13, u vezi s članom 5 stav 1 tačka a Opšte uredbe o zaštiti podataka. Naime, prilikom preuzimanja aplikacije korisniku je omogućeno da putem dostupnog linka pristupi informacijama o obradi ličnih podataka, ali su te informacije namijenjene posjetiocima internet stranice banke i ni na koji način se ne odnose, niti pominju obradu ličnih podataka putem aplikacije mobilnog bankarstva.
Predmetna obrada ličnih podataka tek je vrlo šturo pomenuta i u informacijama o obradi podataka. Shodno tome, banka nije pružila adekvatne informacije o obradi ličnih podataka u vezi s obradom putem aplikacije mobilnog bankarstva, a naročito u dijelu koji se odnosi na prikupljanje spiska svih instaliranih aplikacija na mobilnom uređaju korisnika. Time je ova obrada u tom segmentu praktično sprovođena u tajnosti, a ispitanicima je znatno otežan pristup ključnim informacijama o podacima koji se od njih prikupljaju.
Ove godine 13 kazni od 6,72 miliona eura
Na kraju, prilikom izbora, odnosno dizajniranja softverskog rješenja, banka nije primijenila odgovarajuće tehničke i organizacione mjere kojima bi se obezbijedilo da se, po principu integrisane zaštite, obrađuju isključivo lični podaci koji su neophodni za svrhu obrade. Time banka nije ispoštovala zahtjeve iz člana 25 stav 2, u vezi s članom 5 stav 1 tačka c Opšte uredbe o zaštiti podataka.
Banka je mogla i morala da implementira rješenje koje u manjoj mjeri zadire u privatnost ispitanika, na primjer sistem koji bi centralizovano čuvao samo informacije o aplikacijama koje se nalaze na „crnoj listi“, umjesto kompletnog spiska svih instaliranih programa i aplikacija na mobilnom uređaju.
Potrebno je istaći da banka u okviru predmetne aktivnosti obrađuje prekomjernu količinu ličnih podataka, pri čemu ne uzima u obzir da pojedine aplikacije mogu otkriti ili ukazivati na lične podatke, uključujući i posebne kategorije podataka, kao što su podaci o zdravlju, političkim ili vjerskim uvjerenjima ili seksualnoj orijentaciji. Time se dodatno potvrđuje da implementirano rješenje nije postavljeno na način koji obezbjeđuje obradu samo nužnih i proporcionalnih podataka u odnosu na svrhu obrade.
Ovo je 13. upravna novčana kazna koju je Agencija izrekla u 2025. godini, a ukupan iznos izrečenih kazni u ovoj godini iznosi 6.723.000 eura.