Agencija za zaštitu osobnih podataka (AZOP) danas je objavila priopćenje u kojem navode kako su izrekli novčanu kaznu u iznosu od 1,5 milijuna eura „jednoj banci zbog višestrukih povreda Opće uredbe o zaštiti podataka, vezano uz obradu osobnih podataka korisnika mobilnog bankarstva“. Erste banka potvrdila je za Jutarnji list da je sporno aplikativno rješenje korišteno isključivo u svrhu zaštite klijenata te da će iskoristiti sva dostupna pravna sredstva kako bi dokazali da su postupali savjesno.
Odgovor Erste banke prenosimo u cijelosti:”Erste banka je zaprimila navedeno rješenje AZOP-a te možemo potvrditi da se radi o našoj banci. Banka navedeno aplikativno rješenje koristi isključivo u svrhu zaštite svojih klijenata i minimiziranja potencijalnih prijevarnih aktivnosti koje posljedično mogu nastati na njihovu štetu. Važno je dodatno naglasiti da banka primjenom navedenog rješenja postupa u skladu sa svim pozitivnim propisima koji reguliraju područje sigurnosne zaštite svojih klijenata, uključujući i segment zaštite osobnih podataka.Prednosti korištenja takvog rješenja očituju se, primjerice, u mogućnosti detekcije potencijalne kompromitacije uređaja klijenata, detekcije u vezi s potencijalnim preuzimanjem računa klijenata, kao i potencijalnog preuzimanja uređaja klijenata od strane trećih, neovlaštenih osoba. Samo u posljednjih 12 mjeseci, upotrebom navedenog rješenja, spriječeno je ukupno oko 1100 pokušaja prijevarnih radnji na štetu klijenata u potencijalnom iznosu od 2 milijuna eura.
Imajući u vidu navedeno, Erste banka smatra da su izrečena kazna, kao i neprepoznavanje koristi koje nastaju primjenom ovakvih mjera zaštite klijenata, uključujući i moguću štetu koja potencijalno može nastati ukidanjem njihove primjene, u bitnom raskoraku s ciljevima koje pred financijske institucije stavljaju pozitivni propisi u području sigurnosne zaštite klijenata. Nažalost, evidentan je i izostanak koordinacije te primjene učinkovite i jednoznačne regulacije u ovom području, koja bi bila prepoznata i usvojena od strane svih uključenih regulatornih tijela.Također, vrlo je bitno istaknuti da se navedeno rješenje koristi u svim zemljama u kojima posluje Erste grupa te ni u jednoj od njih nije dovedeno u pitanje s bilo kojeg regulatornog aspekta. Shodno navedenom, Erste banka će iskoristiti sva dostupna pravna sredstva kako bi zaštitila svoje interese te dokazala da je postupala u skladu s važećim pozitivnim propisima, savjesno, odgovorno i u dobroj vjeri, s isključivim ciljem zaštite svojih klijenata.“
Odluka AZOP-a
Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu banci, kao voditelju obrade u ukupnom iznosu od 1.500.000,00 eura* zbog višestrukih kršenja odredbi Opće uredbe o zaštiti podataka, objavili su na svojim stranicama te to prenosimo u cijelosti. “Nakon zaprimanja predstavke ispitanika koji je naveo kako se prilikom korištenja mobilnog bankarstva prikupljaju popisi svih instaliranih aplikacija i programa na mobilnim uređajima klijenata, Agencija je pokrenula postupak po službenoj dužnosti zbog moguće aktivnosti obrade koja nije u skladu s odredbama Opće uredbe o zaštiti podataka u odnosu na veći broj ispitanika. Utvrđeno je da banka obrađuje osobne podatke 433 922 ispitanika (korisnika) putem programskog rješenja implementiranog unutar aplikacije mobilnog bankarstva bez pravne osnove iz članka 6. stavka 1. u vezi s člankom 5. stavkom 1. točkom a) Opće uredbe o zaštiti podataka. Konkretno, banka je implementirala program unutar aplikacije mobilnog bankarstva za Android i Huawei operativne sustave, koji skenira sadržaj mobilnog uređaja te prenosi i pohranjuje, između ostaloga, i popis svih instaliranih aplikacija i programa u centraliziranu bazu podataka banke, što predstavlja izraziti, prekomjeran i neopravdan upliv u privatnost.
Tijekom nadzornog postupanja banka je navodila kako pravna osnova za prikupljanje popisa svih instaliranih aplikacija i programa proizlazi iz Delegirane uredbe, kao i Zakona o platnom prometu, a koji ne sadrže formulaciju, niti intenciju koja bi opravdala prikupljanje, odnosno pohranjivanje popisa svih instaliranih aplikacija na mobilnom uređaju ispitanika.
Nadalje, prilikom ugovaranja usluge mobilnog bankarstva banka nije pružila transparentne informacije korisnicima o obradi njihovih osobnih podataka, čime nije osigurala poštivanje zahtjeva iz članaka 12. i 13., a u svezi s člankom 5. stavkom 1. točkom a) Opće uredbe o zaštiti podataka. Naime, prilikom preuzimanje aplikacije korisnik ima mogućnost putem dostupne poveznice pristupiti informacijama o obradi osobnih podataka, ali je ista namijenjena posjetiteljima internetske stranice banke te se ni na koji način ne osvrće niti spominje informacija o obradi osobnih podataka putem aplikacije mobilnog bankarstva. Predmetna obrada osobnih podataka spominje se izrazito šturo i u Informacijama o obradi podataka. Slijedom navedenog, banka nije pružila adekvatne informacije o obradi osobnih podataka u odnosu na obradu osobnih podataka putem aplikacije mobilnog bankarstva, a posebice vezano za prikupljanje popisa svih instaliranih aplikacija na mobilnom uređaju korisnika te je predmetna obrada održana u tom dijelu praktički u tajnosti, a ispitanicima je znatno otežan pristup bitnim informacijama o podacima koji se od njih prikupljaju”, navode iz Agencije.
“Naposljetku, prilikom izbora odnosno dizajniranja programskog rješenja banka nije provodila odgovarajuće tehničke i organizacijske mjere kojima se osigurava da na integrirani način budu obrađeni samo osobni podaci koji su nužni za svrhu obrade, čime banka nije osigurala poštivanje zahtjeva iz članka 25. stavka 2., a u vezi s člankom 5. stavkom 1. točkom c) Opće uredbe o zaštiti podataka. Banka je mogla i morala implementirati rješenje koje manje zadire u privatnost ispitanika, primjerice rješenje koje bi centralizirano pohranjivalo samo informacije o aplikacijama koje su na „crnoj listi“ čime bi se u manjoj mjeri zadiralo u privatnost ispitanika, a ne popis svih instaliranih programa i aplikacija na mobilnom uređaju.Potrebno je istaknuti da banka u okviru predmetne aktivnosti obrađuje prekomjernu količinu osobnih podataka te pri tome ne uzima u obzir da pojedine aplikacije mogu otkrivati ili upućivati na osobne podatke, uključujući i posebne kategorije podataka (npr. podatke o zdravlju, političkim ili vjerskim uvjerenjima ili seksualnoj orijentaciji). Time se dodatno potvrđuje da implementirano rješenje nije postavljeno na način koji osigurava obradu samo nužnih i proporcionalnih podataka u odnosu na svrhu obrade. Ovo je trinaesta upravna novčana kazna koju je Agencija izrekla u 2025. godini, pri čemu ukupan iznos kazni u ovoj godini iznosi 6.723.000,00 eura”, navode.

