JEDNA je banka u Hrvatskoj kažnjena s čak 1,5 milijuna eura zbog višestrukog kršenja Opće uredbe o zaštiti podataka (GDPR), a kaznu joj je izrekla Agencija za zaštitu osobnih podataka (AZOP). Utvrđeno je da je banka putem svoje aplikacije za mobilno bankarstvo prikupljala popise svih instaliranih aplikacija s mobilnih uređaja klijenata, bez valjane pravne osnove i bez da ih je o tome jasno obavijestila, javlja Agencija za zaštitu osobnih podataka.

AZOP nije objavio o kojoj banci se radi, no Index doznaje da se radi o Erste&Steiermärkische banci.

"Banka navedeno aplikativno rješenje koristi isključivo u svrhu zaštite svojih klijenata i minimiziranja potencijalnih prijevarnih aktivnosti koje posljedično mogu nastati na njihovu štetu. Važno je dodatno naglasiti da banka primjenom navedenog rješenja postupa u skladu sa svim pozitivnim propisima koji reguliraju područje sigurnosne zaštite svojih klijenata, uključujući i segment zaštite osobnih podataka.

Prednosti korištenja takvog rješenja očituju se, primjerice, u mogućnosti detekcije potencijalne kompromitacije uređaja klijenata, detekcije u vezi s potencijalnim preuzimanjem računa klijenata, kao i potencijalnog preuzimanja uređaja klijenata od strane trećih, neovlaštenih osoba. Samo u posljednjih 12 mjeseci upotrebom navedenog rješenja spriječeno je ukupno oko 1100 pokušaja prijevarnih radnji na štetu klijenata u potencijalnom iznosu od 2 milijuna eura", kazali su za Index.

"Iskoristit ćemo pravna sredstva"

Imajući u vidu navedeno, Erste banka smatra da je izrečena kazna, kao i neprepoznavanje koristi koje nastaju primjenom ovakvih mjera zaštite klijenata, uključujući i moguću štetu koja potencijalno može nastati ukidanjem njihove primjene, u bitnom raskoraku s ciljevima koje pred financijske institucije stavljaju pozitivni propisi u području sigurnosne zaštite klijenata. Nažalost, evidentan je i izostanak koordinacije te primjene efikasne i jednoznačne regulacije u ovom području, koja bi bila prepoznata i usvojena od strane svih uključenih regulatornih tijela.

Također, vrlo je bitno istaknuti da se navedeno rješenje koristi u svim zemljama u kojima posluje Erste grupa te ni u jednoj od njih nije dovedeno u pitanje s bilo kojeg regulatornog aspekta.

U skladu s navedenim, Erste banka će iskoristiti sva dostupna pravna sredstva kako bi zaštitila svoje interese te dokazala da je postupala u skladu s važećim pozitivnim propisima, savjesno, odgovorno i u dobroj vjeri, s isključivim ciljem zaštite svojih klijenata", zaključuju u priopćenju.

Pogođeno više od 430.000 klijenata

Podsjetimo, postupak je pokrenut po službenoj dužnosti nakon što se Agenciji obratio klijent banke koji je primijetio da aplikacija za mobilno bankarstvo prikuplja podatke o svim programima i aplikacijama instaliranima na njegovom mobitelu. To je upalilo alarm u AZOP-u, koji je pokrenuo istragu zbog sumnje na nezakonitu obradu podataka velikog broja korisnika.

Istragom je utvrđeno da je banka na ovaj način obrađivala osobne podatke čak 433.922 korisnika. Programsko rješenje unutar aplikacije za mobilno bankarstvo, namijenjeno Android i Huawei uređajima, skeniralo je sadržaj mobitela te potom prenosilo i pohranjivalo popis svih instaliranih aplikacija u centralnu bazu podataka banke. AZOP je takvu praksu ocijenio kao "izrazit, prekomjeran i neopravdan upliv u privatnost".

Banka se branila, ali bezuspješno

Tijekom postupka, banka se pokušala opravdati tvrdnjom da pravnu osnovu za takvo prikupljanje podataka crpi iz Delegirane uredbe i Zakona o platnom prometu. Međutim, Agencija je utvrdila da navedeni propisi ne sadrže nikakvu formulaciju, pa ni namjeru, koja bi opravdala prikupljanje i pohranu popisa svih aplikacija s uređaja korisnika. Dodatan problem bio je i potpuni izostanak transparentnosti. Korisnici prilikom ugovaranja usluge nisu dobili jasne informacije o ovakvoj obradi podataka, a one dostupne bile su šture i nisu je spominjale, zbog čega je cijeli proces, kako navodi AZOP, održan "praktički u tajnosti".

"Ignorirano načelo manje je više"

Agencija je također zaključila da banka nije poštovala načelo integrirane zaštite podataka, koje nalaže da se obrađuju samo nužni podaci. Umjesto da prikuplja popis svih aplikacija, banka je, smatra AZOP, mogla i morala implementirati rješenje koje manje zadire u privatnost. Kao primjer navodi se rješenje koje bi pohranjivalo samo informacije o aplikacijama koje se nalaze na "crnoj listi" zbog sigurnosnih rizika. Posebno je zabrinjavajuće, ističe se, što popis instaliranih aplikacija može otkriti i vrlo osjetljive osobne podatke, poput onih o zdravlju, političkim ili vjerskim uvjerenjima te seksualnoj orijentaciji.

Ovo je trinaesta kazna koju je AZOP izrekao u 2025. godini, a ukupan iznos izrečenih kazni time se popeo na 6,72 milijuna eura. Važno je napomenuti da rješenje o kazni još nije pravomoćno te banka ima rok od 30 dana za pokretanje upravnog spora pred nadležnim sudom.