Agencija u HR kaznila banku sa 1,5 miliona eura zbog kršenja GDPR-a

Agencija za zaštitu osobnih podataka Republike Hrvatske (AZOP) izrekla je jednoj banci upravnu novčanu kaznu u iznosu od 1,5 miliona eura zbog višestrukog kršenja odredbi Opće uredbe o zaštiti podataka (GDPR). Postupak je pokrenut nakon pritužbe korisnika koji je naveo da aplikacija mobilnog bankarstva prikuplja popis svih instaliranih aplikacija i programa na mobilnim uređajima klijenata. Nadzorom je utvrđeno da je banka bez valjane pravne osnove obrađivala lične podatke 433.922 korisnika putem softverskog rješenja ugrađenog u aplikacije za Android i Huawei uređaje.

Sporni program skenirao je sadržaj mobilnih telefona te centralno pohranjivao, između ostalog, kompletne liste instaliranih aplikacija, što je ocijenjeno kao ozbiljan, prekomjeran i neopravdan zadir u privatnost korisnika. Banka se tokom postupka pozivala na propise iz oblasti platnog prometa, no Agencija je zaključila da ti propisi ne opravdavaju takvu vrstu prikupljanja podataka. Dodatno je utvrđeno da korisnicima nisu bile pružene jasne i transparentne informacije o obradi ličnih podataka prilikom ugovaranja mobilnog bankarstva.

Informacije dostupne putem aplikacije bile su općenite, namijenjene posjetiocima web-stranice banke i nisu se konkretno odnosile na obradu podataka putem mobilne aplikacije. Agencija je također zaključila da banka nije primijenila načelo „zaštite podataka već u fazi dizajna“, jer je mogla koristiti rješenja koja manje zadiru u privatnost, poput obrade samo aplikacija sa tzv. crne liste. Posebno je naglašeno da pojedine aplikacije mogu otkrivati osjetljive podatke, uključujući podatke o zdravlju, političkim ili vjerskim uvjerenjima. Riječ je o trinaestoj novčanoj kazni koju je Agencija izrekla u 2025. godini, a ukupni iznos kazni ove godine iznosi 6,7 miliona eura.