Agencija za zaštitu osobnih podataka (AZOP) izrekla je novčanu kaznu od 1,5 milijuna eura jednoj hrvatskoj banci zbog višestrukog kršenja Opće uredbe o zaštiti osobnih podataka (GDPR). Premda AZOP u svom priopćenju nije naveo ime banke, Index doznaje kako je riječ o Erste&Steiermärkische banci.
Prema navodima AZOP-a, banka je putem svoje aplikacije za mobilno bankarstvo prikupljala popise svih instaliranih aplikacija s mobilnih uređaja klijenata – bez pravne osnove i bez da ih je o tome jasno obavijestila. Na taj je način, kako se navodi, obrađivala osobne podatke čak 433.922 korisnika.
Spomenuto programsko rješenje, namijenjeno korisnicima Android i Huawei uređaja, skeniralo je sadržaj mobitela te pohranjivalo popise aplikacija u internu bazu podataka banke. AZOP je takvu praksu ocijenio kao “izrazit, prekomjeran i neopravdan upliv u privatnost”.
Banka: Riječ je o zaštiti klijenata
Iz Erste banke za Index su poručili kako se korištenjem navedenog rješenja “isključivo željela povećati zaštita klijenata i minimalizirati mogućnost prijevarnih aktivnosti”.
“Važno je naglasiti da banka primjenom navedenog rješenja postupa u skladu s pozitivnim propisima koji reguliraju sigurnost klijenata i zaštitu osobnih podataka. U posljednjih godinu dana spriječeno je više od 1100 pokušaja prijevara u vrijednosti od oko dva milijuna eura”, naveli su iz banke za Index.
Erste smatra kako je kazna “u raskoraku s ciljevima koje pred financijske institucije postavlja zakonodavni okvir” te kako je riječ o “neprepoznavanju koristi zaštitnih mjera”. Banka ističe i da se isto sigurnosno rješenje koristi u svim zemljama u kojima posluje Erste grupa, bez regulatornih prigovora.
“Iskoristit ćemo sva zakonska sredstva kako bismo dokazali da smo postupali savjesno i u dobroj vjeri, s jedinim ciljem zaštite naših klijenata”, stoji u priopćenju banke za Index.
AZOP: Ignorirano načelo “manje je više”
Agencija je tijekom postupka utvrdila kako banka nije osigurala dovoljan stupanj transparentnosti. Klijenti prilikom ugovaranja usluge nisu dobili jasne informacije o obradi svojih podataka, a dostupne obavijesti bile su šture i bez ključnih detalja.
AZOP je pritom zaključio da banka nije poštovala temeljno načelo integrirane zaštite podataka, koje nalaže da se obrađuju samo podaci nužni za ostvarivanje cilja. Umjesto kompletnog popisa aplikacija, banka je – smatra Agencija – mogla primijeniti rješenje koje bi evidentiralo samo “kritične” aplikacije s poznatih crnih lista.
Posebno je istaknuto kako popis instaliranih aplikacija može otkriti i vrlo osjetljive informacije o korisnicima, uključujući zdravstvene podatke, politička ili vjerska opredjeljenja, pa čak i seksualnu orijentaciju.
Postupak pokrenut prijavom jednog klijenta
Istraga je pokrenuta nakon što se AZOP-u obratio jedan korisnik koji je primijetio da aplikacija banke prikuplja podatke o svim programima instaliranima na njegovom telefonu. Nakon provjere, Agencija je po službenoj dužnosti proširila nadzor, utvrdivši kako je riječ o masovnoj, sustavnoj praksi koja pogađa više od 430 tisuća klijenata.
Pravna bitka tek slijedi
Ova je odluka dio šireg niza postupaka koje AZOP vodi protiv pravnih osoba zbog povreda GDPR-a. Samo u 2025. godini Agencija je donijela trinaest kazni, ukupne vrijednosti 6,72 milijuna eura.
Rješenje o kazni Erste banci još nije pravomoćno. U propisanom roku od 30 dana banka može pokrenuti upravni spor pred nadležnim sudom i zatražiti poništenje odluke.