SKANDAL U HRVATSKOJ: Banka špijunirala telefone klijenata, kazna 1,5 miliona evra

Hrvatska agencija za zaštitu ličnih podataka izrekla je jednoj banci administrativnu novčanu kaznu u ukupnom iznosu od 1,5 miliona evra zbog višestrukog kršenja odredbi Opšte uredbe o zaštiti podataka (GDPR), objavljeno je na zvaničnom sajtu Agencije.

Postupak je pokrenut nakon što je Agencija zaprimila pritužbu jednog ispitanika, koji je naveo da se prilikom korišćenja aplikacije za mobilno bankarstvo prikupljaju podaci o svim instaliranim aplikacijama i programima na mobilnim uređajima korisnika. Na osnovu te prijave, Agencija je po službenoj dužnosti pokrenula nadzor, jer se sumnjalo da je reč o obradi ličnih podataka koja nije u skladu sa GDPR-om i koja se odnosi na veliki broj građana.

Tokom postupka utvrđeno je da banka, putem softverskog rešenja ugrađenog u aplikaciju za mobilno bankarstvo, obrađuje lične podatke čak 433.922 korisnika, i to bez odgovarajućeg pravnog osnova, suprotno članu 6 stav 1 u vezi sa članom 5 stav 1 tačka a) Opšte uredbe o zaštiti podataka.

Konkretno, banka je u aplikaciju za mobilno bankarstvo na operativnim sistemima Android i Huawei implementirala program koji skenira kompletan sadržaj mobilnog uređaja, prikuplja i prenosi, a zatim i čuva u centralizovanoj bazi podataka, listu svih instaliranih aplikacija i programa. Prema oceni Agencije, ovakva praksa predstavlja ozbiljno, prekomerno i neopravdano zadiranje u privatnost korisnika, prenosi Jutarnji list.

Tokom nadzora, banka je pokušala da opravda ovakvu obradu ličnih podataka pozivanjem na Delegiranu uredbu i Zakon o platnom prometu. Međutim, Agencija je utvrdila da ti propisi ne sadrže nikakvu odredbu niti nameru koja bi opravdala prikupljanje i čuvanje kompletne liste instaliranih aplikacija na mobilnim uređajima korisnika.

Dodatno, utvrđeno je da banka prilikom ugovaranja usluge mobilnog bankarstva nije korisnicima pružila jasne, precizne i transparentne informacije o načinu obrade njihovih ličnih podataka, čime je prekršila obaveze iz članova 12 i 13 GDPR-a, u vezi sa članom 5 stav 1 tačka a).

Naime, korisnicima je prilikom preuzimanja aplikacije bio dostupan link ka informacijama o obradi ličnih podataka, ali je taj sadržaj bio namenjen isključivo posetiocima internet stranice banke i nije se odnosio na obradu podataka putem aplikacije za mobilno bankarstvo, niti je jasno objašnjavao koje se informacije prikupljaju kroz samu aplikaciju. Prikupljanje liste instaliranih aplikacija bilo je tek površno i nejasno pomenuto u opštoj Informaciji o obradi podataka.

Zbog toga Agencija zaključuje da banka korisnicima nije omogućila stvaran i jasan uvid u to koje se informacije o njima prikupljaju, te da je ova obrada u suštini sprovođena gotovo prikriveno, uz znatno otežan pristup ključnim informacijama.

Pored toga, Agencija je utvrdila da banka prilikom izbora i dizajna softverskog rešenja nije primenila odgovarajuće tehničke i organizacione mere kako bi se obezbedilo da se obrađuju isključivo oni podaci koji su nužni za ostvarenje svrhe obrade. Time je prekršen član 25 stav 2, u vezi sa članom 5 stav 1 tačka c) GDPR-a.

U obrazloženju se navodi da je banka mogla, i trebalo, da primeni znatno manje invazivno rešenje – na primer, sistem koji bi centralno čuvao samo podatke o aplikacijama koje se nalaze na tzv. „crnoj listi“, umesto kompletne evidencije svih instaliranih programa na uređajima korisnika.

Agencija je dodatno upozorila da ovakva praksa dovodi do obrade prekomerne količine ličnih podataka, uz rizik da pojedine aplikacije mogu otkrivati ili biti povezane sa posebno osetljivim podacima, poput informacija o zdravlju, političkim ili verskim uverenjima, kao i seksualnoj orijentaciji. To dodatno potvrđuje da primenjeno rešenje nije bilo proporcionalno niti usklađeno sa osnovnim načelima zaštite podataka.

Ovo je trinaesta administrativna kazna koju je Agencija izrekla tokom 2025. godine, a ukupan iznos svih izrečenih kazni ove godine dostigao je 6.723.000 evra.

(Build)

PROČITAJTE KLIKOM OVDE NAJVAŽNIJE AKTUELNE VESTI