Agencija za zaštitu osobnih podataka (AZOP) banci koja posluje u Hrvatskoj izrekla je upravnu novčanu kaznu u ukupnom iznosu od 1,5 milijuna eura, i to zbog višestrukih kršenja odredbi Opće uredbe o zaštiti podataka.
AZOP je objasnio da je postupak pokrenut po službenoj dužnosti nakon zaprimanja predstavke ispitanika koji je naveo da se prilikom korištenja mobilnog bankarstva prikupljaju popisi svih instaliranih aplikacija i programa na mobilnim uređajima klijenata.
Utvrđeno je da banka putem mobilnog bankarstva obrađuje osobne podatke 433.922 korisnika aplikacije, odnosno da je u aplikaciji za Android i Huawei implementirala sustave koji skeniraju sadržaj mobitela te, između ostalog, u centraliziranu bazu podataka banke prenose i pohranjuju popis svih instaliranih aplikacija i programa.
"To predstavlja izraziti, prekomjeran i neopravdan upliv u privatnost", napomenuli su iz AZOP-a.
Također se navodi da je banka tijekom nadzornog postupanja tvrdila da pravna osnova za prikupljanje popisa svih instaliranih aplikacija i programa proizlazi iz Delegirane uredbe, kao i Zakona o platnom prometu, a koji ne sadrže formulaciju ni intenciju koja bi opravdala prikupljanje, odnosno pohranjivanje popisa svih instaliranih aplikacija na mobilnom uređaju ispitanika.
Osim toga, banka prilikom ugovaranja usluge mobilnog bankarstva nije pružila transparentne informacije korisnicima o obradi njihovih osobnih podataka.
"Naime, prilikom preuzimanje aplikacije korisnik ima mogućnost putem dostupne poveznice pristupiti informacijama o obradi osobnih podataka, ali je ista namijenjena posjetiteljima internetske stranice banke te se ni na koji način ne osvrće niti spominje informacija o obradi osobnih podataka putem aplikacije mobilnog bankarstva. Predmetna obrada osobnih podataka spominje se izrazito šturo i u Informacijama o obradi podataka", objasnili su iz AZOP-a.
"Slijedom navedenog, banka nije pružila adekvatne informacije o obradi osobnih podataka u odnosu na obradu osobnih podataka putem aplikacije mobilnog bankarstva, a posebice vezano za prikupljanje popisa svih instaliranih aplikacija na mobilnom uređaju korisnika te je predmetna obrada održana u tom dijelu praktički u tajnosti, a ispitanicima je znatno otežan pristup bitnim informacijama o podacima koji se od njih prikupljaju", dodali su.
Također, iz AZOP-a su objavili da banka nije provodila odgovarajuće tehničke i organizacijske mjere kojima se osigurava da na integrirani način budu obrađeni samo osobni podaci koji su nužni za svrhu obrade.
"Banka je mogla i morala implementirati rješenje koje manje zadire u privatnost ispitanika, primjerice rješenje koje bi centralizirano pohranjivalo samo informacije o aplikacijama koje su na 'crnoj listi' čime bi se u manjoj mjeri zadiralo u privatnost ispitanika, a ne popis svih instaliranih programa i aplikacija na mobilnom uređaju", objavljeno je na stranici AZOP-a.
"Potrebno je istaknuti da banka u okviru predmetne aktivnosti obrađuje prekomjernu količinu osobnih podataka te pri tome ne uzima u obzir da pojedine aplikacije mogu otkrivati ili upućivati na osobne podatke, uključujući i posebne kategorije podataka (npr. podatke o zdravlju, političkim ili vjerskim uvjerenjima ili seksualnoj orijentaciji). Time se dodatno potvrđuje da implementirano rješenje nije postavljeno na način koji osigurava obradu samo nužnih i proporcionalnih podataka u odnosu na svrhu obrade", dodaje se.
Rješenje kojim je izrečena upravna novčana kazna nije pravomoćno. Voditelj obrade može pokrenuti upravni spor pred nadležnim upravnim sudom u roku od 30 dana od dana dostave rješenja.