Agencija za zaštitu osobnih podataka (AZOP) izrekla je rekordnu kaznu od 1,5 milijuna eura jednoj hrvatskoj banci zbog teškog kršenja Opće uredbe o zaštiti podataka (GDPR).
Banka je, bez znanja korisnika, putem svoje mobilne aplikacije prikupljala popis svih instaliranih aplikacija na mobitelima svojih klijenata, čime je povrijedila jedno od osnovnih prava – pravo na privatnost.
Prema informacijama iz AZOP-a, postupak je pokrenut nakon prijave jednog klijenta koji je primijetio sumnjivo ponašanje aplikacije za mobilno bankarstvo.
Korisnik je shvatio da aplikacija prikuplja informacije koje nisu povezane s bankarskim uslugama, što je potaknulo Agenciju da pokrene službenu istragu.
Istragom je utvrđeno da je banka obrađivala osobne podatke čak 433.922 klijenata. Programsko rješenje unutar aplikacije, razvijeno za Android i Huawei uređaje, skeniralo je cijeli sadržaj mobitela korisnika i pohranjivalo popis svih instaliranih aplikacija u internu bazu podataka banke.
AZOP je takvu praksu ocijenio kao “izrazit, prekomjeran i neopravdan upliv u privatnost građana”.
Agencija nije objavila naziv banke, pozivajući se na odredbe o zaštiti postupka dok odluka ne postane pravomoćna.
No, navodi se da se radi o jednoj od većih domaćih banaka koja ima više stotina tisuća aktivnih korisnika mobilnog bankarstva.
Banka se pokušala opravdati, ali bezuspješno
Tijekom postupka, banka je pokušala dokazati da je obrada podataka imala pravnu osnovu u Delegiranoj uredbi i Zakonu o platnom prometu, ali je AZOP zaključio da niti jedan od tih propisa ne omogućuje prikupljanje podataka o aplikacijama korisnika.
Dodatni problem bio je i nedostatak transparentnosti – korisnici nisu bili jasno obaviješteni o vrsti podataka koji se prikupljaju, a informacije dostupne u uvjetima korištenja bile su šture i neprecizne.
Kako navodi AZOP, prikupljanje podataka odvijalo se “praktički u tajnosti”, bez pristanka korisnika, što predstavlja teško kršenje GDPR-a i načela zakonitosti obrade podataka.
Kršenje osnovnih načela zaštite privatnosti
Agencija je u rješenju naglasila da banka nije poštovala temeljno načelo smanjenja količine podataka, poznato kao “manje je više”.
Umjesto da prikuplja popis svih aplikacija, mogla je primijeniti rješenje koje bilježi samo aplikacije s popisa sigurnosno rizičnih programa.
AZOP je upozorio kako popis instaliranih aplikacija može otkriti osjetljive osobne podatke, uključujući zdravstveno stanje, političke i vjerske stavove, pa čak i seksualnu orijentaciju korisnika – čime se rizik od zlouporabe višestruko povećava.
Banka je, unatoč obrani, proglašena odgovornom za višestruko kršenje privatnosti i kažnjena s 1,5 milijuna eura, što predstavlja jednu od najviših kazni izrečenih u Hrvatskoj u vezi s GDPR-om.
Ovo je ujedno trinaesta kazna AZOP-a u 2025. godini, čime je ukupan iznos izrečenih kazni dosegao 6,72 milijuna eura.
Agencija je navela da se ovakvim slučajevima želi poslati jasna poruka bankarskom i tehnološkom sektoru da su osobni podaci građana zakonski zaštićeni i da njihova obrada mora biti opravdana i transparentna.
Rješenje o kazni još nije pravomoćno, a banka ima rok od 30 dana da pokrene upravni spor pred nadležnim sudom i pokuša osporiti odluku.
Do tada, predmet ostaje otvoren, a javnost s nestrpljenjem očekuje identitet banke i eventualni nastavak postupka.
