Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu banci, kao voditelju obrade, u ukupnom iznosu od 1.500.000 eura zbog višestrukih kršenja odredbi Opće uredbe o zaštiti podataka (GDPR).
Postupak je pokrenut nakon zaprimanja predstavke od strane jednog od ispitanika koji je naveo da aplikacija mobilnog bankarstva prikuplja popis svih instaliranih aplikacija i programa na mobilnim uređajima korisnika. Agencija je postupila po službenoj dužnosti te utvrdila da se obrada osobnih podataka provodi na način koji nije u skladu s GDPR-om i da obuhvaća 433.922 korisnika.
Analizom je utvrđeno da banka u okviru aplikacije mobilnog bankarstva za Android i Huawei operativne sustave implementira program koji skenira sadržaj mobilnog uređaja i prenosi popis svih instaliranih aplikacija u centraliziranu bazu podataka banke. Takva praksa Agencija je ocijenila kao izraziti, prekomjeran i neopravdan upliv u privatnost korisnika, budući da za nju ne postoji pravna osnova.
Banka je tijekom nadzora tvrdila da je prikupljanje podataka opravdano Delegiranom uredbom i Zakonom o platnom prometu, no Agencija je jasno navela da navedeni propisi ne sadrže formulaciju niti intenciju koja bi opravdala takvu obradu osobnih podataka.
Uz to, banka nije korisnicima pružila transparentne i jasne informacije o obradi podataka prilikom preuzimanja aplikacije, što predstavlja kršenje zahtjeva iz članaka 12. i 13. GDPR-a. Informacije dostupne putem poveznice bile su namijenjene posjetiteljima internetske stranice banke i praktički nisu obuhvaćale obradu podataka unutar mobilnog bankarstva.
AZOP je također utvrdio da banka nije primijenila odgovarajuće tehničke i organizacijske mjere za ograničavanje obrade na podatke koji su nužni za svrhu obrade, čime je prekršen članak 25. GDPR-a. Agencija je napomenula da je bilo moguće implementirati rješenja koja manje zadiru u privatnost korisnika, primjerice pohranjivanjem podataka samo o aplikacijama s “crne liste”, umjesto kompletnog popisa svih instaliranih programa.
Posebno je naglašeno da prikupljeni podaci mogu uključivati informacije koje upućuju na posebne kategorije osobnih podataka, poput podataka o zdravlju, političkim i vjerskim uvjerenjima ili seksualnoj orijentaciji, čime se dodatno narušava privatnost korisnika.
Ova kazna predstavlja trinaestu upravnu novčanu sankciju izrečenu od strane Agencije u 2025. godini, a ukupni iznos kazni ove godine dosegao je 6.723.000 eura.
Agencija ovim postupkom jasno ističe važnost poštivanja principa nužnosti, proporcionalnosti i transparentnosti u obradi osobnih podataka, posebno u digitalnim uslugama poput mobilnog bankarstva.