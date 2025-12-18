Nakon prijema žalbe od ispitanika, koji je naveo da se prilikom korišćenja mobilnog bankarstva prikupljaju liste svih instaliranih aplikacija i programa na mobilnim uređajima klijenata, Agencija je pokrenula postupak po službenoj dužnosti zbog moguće aktivnosti obrade koja nije u skladu sa odredbama Opšte uredbe o zaštiti podataka u odnosu na veliki broj ispitanika.

Utvrđeno je da banka obrađuje lične podatke 433.922 ispitanika (korisnika) putem softverskog rešenja implementiranog u okviru aplikacije za mobilno bankarstvo, bez pravnog osnova iz člana 6. stav 1. u vezi sa članom 5. stav 1. tačka a) Opšte uredbe o zaštiti podataka.

Konkretno, banka je implementirala program u okviru aplikacije za mobilno bankarstvo za operativne sisteme Android i Huavej, koji skenira sadržaj mobilnog uređaja i prenosi i čuva, između ostalog, listu svih instaliranih aplikacija i programa u centralizovanoj bazi podataka banke, što predstavlja značajno, prekomerno i neopravdano zadiranje u privatnost, prenosi Jutarnji.

Tokom postupka nadzora, banka je navela da pravni osnov za prikupljanje liste svih instaliranih aplikacija i programa proizilazi iz Delegirane uredbe, kao i Zakona o platnom prometu, koji ne sadrže nikakvu formulaciju ili nameru koja bi opravdala prikupljanje, odnosno čuvanje liste svih instaliranih aplikacija na mobilnom uređaju ispitanika. Foto: Depositphotos

Štaviše, prilikom ugovaranja usluge mobilnog bankarstva, banka nije korisnicima pružila transparentne informacije o obradi njihovih ličnih podataka, čime nije uspela da obezbedi usklađenost sa zahtevima članova 12 i 13, u vezi sa članom 5(1)(a) Opšte uredbe o zaštiti podataka.

Naime, prilikom preuzimanja aplikacije, korisnik ima mogućnost da pristupi informacijama o obradi ličnih podataka putem dostupnog linka, ali je on namenjen posetiocima veb stranice banke i ni na koji način se ne odnosi niti pominje informacije o obradi ličnih podataka putem aplikacije za mobilno bankarstvo. Predmetna obrada ličnih podataka je vrlo kratko pomenuta u Informaciji o obradi podataka.

Kao rezultat toga, banka nije pružila adekvatne informacije o obradi ličnih podataka u vezi sa obradom ličnih podataka putem aplikacije za mobilno bankarstvo, a posebno u vezi sa prikupljanjem liste svih instaliranih aplikacija na mobilnom uređaju korisnika, te je predmetna obrada u tom delu sprovedena praktično tajno, a ispitanici su imali znatno otežan pristup bitnim informacijama o podacima prikupljenim od njih.

Konačno, prilikom izbora ili dizajniranja softverskog rešenja, banka nije sprovela odgovarajuće tehničke i organizacione mere kako bi osigurala da se samo lični podaci koji su neophodni za svrhu obrade obrađuju na integrisan način, čime nije uspela da obezbedi usklađenost sa zahtevima člana 25. stav 2., u vezi sa članom 5. stav 1. tačka c) Opšte uredbe o zaštiti podataka. Foto: Depositphotos

Banka je mogla i trebalo je da implementira rešenje koje manje zadire u privatnost ispitanika, na primer rešenje koje bi centralno skladištilo samo informacije o aplikacijama koje se nalaze na „crnoj listi“, što bi manje zadiralo u privatnost ispitanika, umesto liste svih instaliranih programa i aplikacija na mobilnom uređaju.

Treba napomenuti da banka obrađuje prekomernu količinu ličnih podataka u okviru predmetne aktivnosti i ne uzima u obzir da određene aplikacije mogu otkrivati ili se pozivati na lične podatke, uključujući posebne kategorije podataka (npr. podatke o zdravlju, političkim ili verskim uverenjima ili seksualnoj orijentaciji). Ovo dodatno potvrđuje da implementirano rešenje nije postavljeno na način koji obezbeđuje obradu samo neophodnih i srazmernih podataka u odnosu na svrhu obrade.

Ovo je trinaesta administrativna kazna koju je Agencija izrekla u 2025. godini, a ukupan iznos kazni ove godine iznosi 6.723.000,00 evra.

Agencija za zaštitu ličnih podataka

