Što se dogodilo i koji su dokazi?

AZOP je utvrdio da je jedna renomirana banka kroz svoju mobilnu aplikaciju prikupljala popise svih instaliranih aplikacija na mobilnim uređajima svojih klijenata. To uključuje Android i Huawei uređaje, a podatke su slali u centralnu bazu banke bez jasne pravne osnove i bez djelotvorne obavijesti korisnicima. Samo u Hrvatskoj, na temelju provedenih istraga, bilo je riječ o posljedicama za više od 433.000 klijenata. To je broj koji ukazuje na široku izloženost privatnih conveniencija i potencijalnih rizika koji proizlaze iz takvog rješenja.

Tehnički detalji otkrivaju da je softver unutar aplikacije provodio automatsko skeniranje uređaja i slanje popisa instaliranih aplikacija, a nakon toga je podatke pohranjivao u centralnu bazu. Takav postupak, koji je rađen bez suglasnosti i bez jasne informiranosti korisnika, predstavlja grub prekršaj načela proporcionalnosti i legitimne obrade. AZOP dostavlja zaključke koji govore o “izrazitom, prekomjernom i neopravdanom uplivu u privatnost” korisnika, što je osnova za ozbiljno kršenje Opće uredbe o zaštiti podataka (GDPR).

Pravni okvir i kontekst GDPR-a u bankarskom sektoru

Gledajući šire, prilagodba pravilima o zaštiti podataka u financijskom sektoru nije samo tehničko pitanje. To je i reputacijsko pitanje koje može iznova definirati povjerenje klijenata. GDPR postavlja jasan okvir: prikupljanje i obrada podataka mora biti nužno, legitimno i transparentno. U slučaju sporne prakse banke, AZOP je zaključio da su propisi, uključujući Delegiranu uredbu i Zakon o platnom prometu, poremećeni krakomnete omogućenih aktivnosti, ali u konkretnom slučaju nisu sadržavale superiornu pravnu formu koja bi opravdala prikupljanje popisa svih aplikacija. To je ključna lekcija: tehnička rješenja ne smiju nadjačati temeljna načela zaštite podataka.

Transparentnost i informiranje korisnika – ključne točke

Transparentnost je sastavni dio GDPR-a. U ovom slučaju, izostanak jasnih informacija o obradi, kao i nedostatak informativnih prodaja, rezultirali su razumljivim osjećajem da se proces odvijao “u tajnosti”. Takva manjkavost povećava rizik da korisnici neće biti u mogućnosti dati slobodnu i informiranu privolu, ako je uopće tražena. Banka bi trebala imati sustav obveznog obavještavanja, jasno istaknuti koje se podatke prikuplja, zašto se oni pohranjuju i tko ima pristup tim informacijama.

Zašto je prikupljanje instaliranih aplikacija problem samo po sebi

Popis instaliranih aplikacija nije samo tehnički podatak; on može otkriti osjetljive informacije o osobi. Na primjer, zdrastveni podaci, politička uvjerenja, vjerska uvjerenja, pa čak i seksualna orijentacija mogu postati poznat podatak koji se može zlorabiti ako netko pokuša interpretirati obrasce korištenja ili navike. Primjena može uspješno dešifrirati rizike i izvesti zaključke koji nadilaze standardnu bankarsku sigurnost. U skladu s principom “manje je više”, banke bi trebale uzimati u obzir minimalnu količinu podataka koja je nužna za pružanje usluge.

Kako se to uopće dogodilo i zašto to nije bilo opravdano

Banka je tvrdila da postoji pravna osnova temeljem Delegirane uredbe i Zakona o platnom prometu koja bi mogla dopustiti obradu tih podataka. Međutim, AZOP je jasno istaknuo da navedene odredbe ne sadrže formulaciju koja bi opravdala takav način prikupljanja i pohrane informacija. U praksi to znači: ako nema jasne i legitimne temeljne osnove, ako nije osigurana informirana suglasnost i ako se ne može dokazati nužnost takvog postupka, tada takva obrada prelazi granice dopuštene. Transparentnost i dozvola su u ovu vrstu postupaka presudni.

Još jedan bitan dio je “integrirana zaštita podataka” – princip koji nalaže da se obradi samo nužni dio podataka koji su bezuvjetno potrebni za ispunjenje usluge. U ovom slučaju, AZOP naglašava da bi logičnije rješenje bilo implementirati sustav koji prikuplja samo informacije o aplikacijama koje mogu predstavljati rizik, tj. one na “crnoj listi” ili one čije postoji jasni sigurnosni rizik. Takav pristup ne samo da štedi privatnost, već povećava i povjerenje korisnika u digitalni sustav banke.

Koja su bila reakcija banke i posljedice

Reakcija banke u ovom slučaju bila je da zatraži pravni temelj i nastoji objasniti tehničku nužnost prikupljanja podataka. No, zaključci AZOP-a ostaju dosljedni: pravna osnova je nejasna i nedovoljna, proces nije bio transparentan, a u strukturiranom kontekstu to znači kršenje temeljnih odredbi GDPR-a. Osim same kazne, ovaj slučaj ima dodatne posljedice: gubitak povjerenja, povećan nadzor regulatora i potreba za prilagodbom internih procedura.

Razlozi zašto je to značajno za budućnost bankarskih suđenja

Ovaj slučaj postavlja standard budućih odluka regulatornih tijela. Ako banke ne prilagode svoje procese pravilima GDPR-a, suočavat će se s redovitim i visoko oporezivim kaznama. No, s druge strane, jasno pokazuje da regulatorne agencije nisu samo “dužničari” kazni; one su ujedno i katalizatori promjena. Banke koje usvoje principe manje invazivne obrade, transparentnosti i jasne informiranosti, neće samo izbjeći težak regulatorni fokus, nego će i izgraditi dugoročno povjerenje kod svojih klijenata.

Tehničko-operativni kontakti: kako bi se slični rizici mogli spriječiti?

Ključna riječ u tehničkom smislu je “least privilege” – minimalno dopušten pristup i minimalno prikupljanje. Sljedeći koraci koje bi svaka ozbiljna banka trebala poduzeti su:

• Izrada tehničke arhitekture koja iskorištava segmentaciju podataka i princip najmanjih privilegija.
• Implementacija “privacy by design” od samog početka razvoja mobilnih aplikacija, uključujući redovne sigurnosne procjene i revizije.
• Formiranje jasne politike privatnosti i suglasnosti koje korisnici lako razumiju, uz jasne informacije o tome koje se podatke i zašto obrađuju.
• Uvođenje opcionalnog načina provjere zbog sigurnosnih rizika, a ne kontinuiranog prikupljanja cijelog popisa instaliranih aplikacija.
• Transparentno komunikacijsko kanale s klijentima – omogućiti pravovremene i jednostavne opozive privole i zahtjeve za brisanje podataka.
• Kontinuirano educiranje zaposlenika o važnosti zaštite podataka i postojećim GDPR-standarda.

Statistički kontekst i trendovi u 2025. godini

U 2025. godini AZOP je objavio da je do sada izrečeno 13 kazni u području zaštite podataka, a njihov ukupan iznos dosegao je 6,72 milijuna eura. Ovaj broj odražava trend pojačanih nadzora nad privatnošću u posebnoj industriji – financijskom sektoru, gdje su podaci o klijentima izuzetno osjetljivi. Prema potvrdama regulatora, glavni izazovi nisu tehnička oprema i mogućnosti, nego transparentnost, suglasnost i jasna pravna osnova za prikupljanje podataka. U kontekstu javnih politika, ovo je signal da se snažno inzistira na “privacy by default” i “privacy by design” pristupu, čak i kad tehnološki izazovi izgledaju privlačno i korisnicima nude lakoću pristupa uslugama.

Osim brojčanih pokazatelja, važno je naglasiti i širi kontekst. S financijskim sektorom, gdje se transakcije obavljaju digitalno 24/7, sigurnost i ugled institucija su neodvojivi. Slučaj koji opisujemo ilustrira da zakoni i standardi nisu prazne formulacije, već živa pravila igre u kojima svaki prekid povjerenja može imati višestruke posljedice – od novčanih kazni do reputacijskih šteta i promjena u ponašanju klijenata.

Što veće javnost može naučiti iz ovog slučaja

Ovaj slučaj nosi poruke za svakoga tko koristi mobilno bankarstvo ili bilo koju digitalnu uslugu koja obrađuje osobne podatke:

• Uvijek tražite jasnu informaciju o tome koje podatke usluga prikuplja, kako se koriste i s kim se dijele.
• Provjerite postoje li mogućnosti ograničavanja obrade ili mogućnost opoziva privole.
• Budite energetski svjesni rizika – iako se radi o tehnički naprednim uslugama, sigurnost korisničkih podataka ostaje prioritet.
• Razmotrite alternative i opcije za de-identifikaciju i agregaciju podataka kako bi se smanjila količina osjetljivih informacija koja se obrađuje.
• Redovito provodite sigurnosne audit-nih provjera i prilagodite politike na temelju najnovijih regulatornih smjernica i tehnoloških promjena.

Kako bi banke trebale reagirati – preporuke za budućnost

Prije svega, banke bi trebale revidirati svoje interne politike i tehničke implementacije. Sljedeći savjeti mogu pomoći da slučajevi poput ovog budu zaustavljeni prije nego što postanu incidenti:

• Integrirati pravne i sigurnosne timove u razvojne cikluse proizvoda kako bi pravna i sigurnosna pitanja bila ugrađena od početka.
• Primijeniti pristup “minimalno potrebnih podataka” kao standard, što znači da aplikacije trebaju prikupljati samo podatke nužne za osnovnu funkcionalnost i sigurnost.
• Omogućiti jednostavne i jasne kanale za žalbe i opozive privole, uz transparentno praćenje statusa obrada podataka.
• Provoditi redovite edukacije za klijente o tome kako štititi vlastite podatke i kako prepoznati sumnjive zahtjeve ili nove prakse koje mogu utjecati na privatnost.
• Ugraditi tehničke mehanizme za audit i nadzor kako bi sustavi bili provjerljivi i otporni na zlouporabu.

Komentari stručnjaka i javnosti

Stručnjaci iz područja zaštite podataka često naglašavaju da ovakvi slučajevi otvaraju širu raspravu o privatnosti u digitalnoj ekonomiji. S jedne strane, potrošači traže brze i jednostavne digitalne usluge koje olakšavaju svakodnevni život. S druge strane, regulatori insistiraju na temeljima koji štite njihove podatke od zloupotreba. Stoga je bitno da banke nađu pravu ravnotežu koja omogućava inovacije, a da istovremeno poštuje temeljna prava klijenata.

FAQ – najčešća pitanja korisnika

Je li banka dobila kaznu jer se radilo o prikupljanju podataka o instaliranim aplikacijama?

Da, izrečena je kazna od 1,5 milijuna eura. AZOP je utvrdio da je prikupljanje bilo protivno GDPR-u i da nije bilo jasne pravne osnove ili transparentne komunikacije prema klijentima.

Je li rješenje o kazni pravomoćno?

Rješenje o kazni još nije pravomoćno; banka ima rok od 30 dana za pokretanje upravnog spora, ali predmet je ozbiljan i naglašen je nadzor nadnadležnih tijela.

Koje su konkretne posljedice za klijente?

Klijenti su bili izloženi riziku da se njihovi privatni podaci o uređajima i aplikacijama koriste za daljnje profiliranje, što može uključivati sigurnosne rizike i neočekivane ciljanje marketinškim ili drugim svrhema.

Koje se alternative mogu koristiti umjesto ovakvog prikupljanja?

Umjesto cjelovitog popisa instaliranih aplikacija, banke mogu implementirati modele koji pohranjuju samo identificirane rizike aplikacija ili provode anonimizaciju i agregaciju podataka prije obrade, te osiguravaju da su dostupne samo nužne informacije.

Što bi trebalo sadržavati politika privatnosti u mobilnom bankarstvu?

Treba sadržavati jasne osnove prikupljanja podataka, informiranje korisnika o svrsi i trajanju obrade, načinima zaštite podataka, te pravima korisnika na pristup, ispravak, brisanje i prigovor.

Zaključak

Ovaj slučaj jasno pokazuje koliko su važni principi zaštite podataka u modernom financijskom ekosustavu. Kazna od 1,5 milijuna eura nije samo broj; to je upozorenje cijeloj industriji da operativne odluke moraju biti usklađene s GDPR-om i sa širim ciljem zaštite privatnosti. S druge strane, to je i poticaj za banke da podebljaju standarde transparentnosti, informiranja i minimalne obradu podataka. Kroz jasne politike, tehničke mjere i otvorenu komunikaciju s klijentima, financijski sektor može nastaviti razvijati inovacije bez narušavanja povjerenja ljudi koji koriste njihove usluge.

U konačnici, ključno pitanje nije samo koliko se podataka može prikupiti, već koliko se pravilno i humano koristi. Ako banke uspostave integrirani pristup koji spaja sigurnost, privatnost i korisničko iskustvo, neće biti potrebe za drastičnim kaznama jer će rizici biti identifikovani i ublaženi prije nego što postanu problem. Zato je važna pouka – zaštita podataka nije prepreka inovacijama, ona je temelj dugoročne održivosti svakog modernog financijskog poslovanja.

Napomena: detalji ovog članka temelje se na javno dostupnim informacijama iz 2025. godine i prilagođeni su potrebama čitatelja Kriminal.info, s naglaskom na jasnom objašnjavanju pravnih i sigurnosnih aspekata vezanih uz zaštitu podataka u bankarskom sektoru.