Agencija za zaštitu osobnih podataka izrekla je banci upravnu novčanu kaznu u iznosu od 1,5 milijuna eura zbog višestrukog kršenja odredbi Opće uredbe o zaštiti podataka. Kazna je izrečena nakon provedenog nadzornog postupka u kojem je utvrđeno ozbiljno i sustavno zadiranje u privatnost korisnika mobilnog bankarstva.
Postupak je pokrenut po službenoj dužnosti nakon što je zaprimljena predstavka korisnika koji je upozorio da aplikacija mobilnog bankarstva prikuplja popis svih instaliranih aplikacija i programa na mobilnim uređajima klijenata. Istragom je utvrđeno da je banka bez valjane pravne osnove obrađivala osobne podatke ukupno 433.922 korisnika.
Agencija je utvrdila kako je banka u aplikaciju mobilnog bankarstva za Android i Huawei operativne sustave implementirala programsko rješenje koje skenira sadržaj mobilnog uređaja te prikuplja, prenosi i pohranjuje popis svih instaliranih aplikacija i programa u centraliziranu bazu podataka. Takva praksa ocijenjena je kao prekomjerna, neopravdana i izrazito invazivna prema privatnosti korisnika.
Tijekom postupka banka se pozivala na Delegiranu uredbu i Zakon o platnom prometu, no Agencija je zaključila da navedeni propisi ne sadrže pravnu osnovu niti namjeru koja bi opravdala prikupljanje i pohranu popisa svih instaliranih aplikacija na mobilnom uređaju korisnika.
Dodatno je utvrđeno da banka korisnicima nije pružila jasne, potpune i transparentne informacije o obradi osobnih podataka prilikom ugovaranja usluge mobilnog bankarstva. Informacije dostupne putem poveznica odnosile su se općenito na internetsku stranicu banke, dok se obrada podataka putem mobilne aplikacije gotovo uopće nije spominjala. Time su korisnicima uskraćene ključne informacije o vrsti i opsegu podataka koji se o njima prikupljaju.
Agencija je također zaključila da banka nije primijenila načelo zaštite privatnosti već u fazi dizajniranja sustava. Umjesto da koristi rješenja koja minimalno zadiru u privatnost, banka je prikupljala cjelokupan popis aplikacija, iako je mogla ograničiti obradu isključivo na aplikacije s potencijalnim sigurnosnim rizikom.
Posebno je naglašeno da pojedine aplikacije mogu otkrivati osjetljive podatke, uključujući informacije o zdravlju, političkim ili vjerskim uvjerenjima te seksualnoj orijentaciji korisnika, čime je rizik za prava ispitanika dodatno povećan.
Ovo je trinaesta upravna novčana kazna koju je Agencija izrekla u 2025. godini, a ukupan iznos izrečenih kazni ove godine dosegnuo je 6,72 milijuna eura. Rješenje još nije pravomoćno, a banka ima pravo pokrenuti upravni spor u zakonskom roku.
