Mobile banking app που σάρωνε τις εφαρμογές στα κινητά των χρηστών: 1,5 εκατομμύριο ευρώ πρόστιμο σε τράπεζα

Διοικητικό πρόστιμο ύψους 1,5 εκατομμυρίου ευρώ επέβαλε η κροατική αρχή προστασίας δεδομένων AZOP σε τράπεζα λόγω πολλαπλών παραβάσεων του Γενικού Κανονισμού Προστασίας Δεδομένων. Η υπόθεση αφορούσε την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της χρήσης mobile banking app και ειδικότερα τη συλλογή και αποθήκευση καταλόγων όλων των εγκατεστημένων εφαρμογών και προγραμμάτων στις κινητές συσκευές των χρηστών.

Η διοικητική διαδικασία κινήθηκε αυτεπαγγέλτως από την AZOP, μετά από καταγγελία υποκειμένου των δεδομένων, σύμφωνα με την οποία κατά τη χρήση της υπηρεσίας mobile banking παρατηρήθηκε δραστηριότητα που αφορούσε την άντληση πληροφοριών για όλες τις εφαρμογές και τα προγράμματα που ήταν εγκατεστημένα στις κινητές συσκευές των πελατών της τράπεζας. Η Αρχή έκρινε ότι η συγκεκριμένη πρακτική ενδεχομένως αφορούσε μεγάλο αριθμό υποκειμένων των δεδομένων και δεν ήταν σύμφωνη με τις απαιτήσεις του Γενικού Κανονισμού.

Στο πλαίσιο του ελέγχου διαπιστώθηκε ότι η τράπεζα επεξεργαζόταν προσωπικά δεδομένα συνολικά 433.922 χρηστών μέσω λογισμικού ενσωματωμένου στην εφαρμογή mobile banking, χωρίς να υφίσταται έγκυρη νομική βάση κατά το άρθρο 6 παρ. 1 ΓΚΠΔ, σε συνδυασμό με την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας του άρθρου 5 παρ.1α’.

Ειδικότερα, στο περιβάλλον της εφαρμογής για τα λειτουργικά συστήματα Android και Huawei είχε ενσωματωθεί λογισμικό το οποίο προέβαινε σε σάρωση του περιεχομένου της κινητής συσκευής και στη διαβίβαση και αποθήκευση, μεταξύ άλλων, του πλήρους καταλόγου όλων των εγκατεστημένων εφαρμογών και προγραμμάτων σε κεντρική βάση δεδομένων της τράπεζας. Η κροατική αρχή χαρακτήρισε την πρακτική αυτή ως έντονη, υπέρμετρη και αδικαιολόγητη επέμβαση στην ιδιωτική ζωή των χρηστών.

Ενώπιον της αρχής, η τράπεζα υποστήριξε ότι η νομική βάση της επίμαχης επεξεργασίας πήγαζε από τον νόμο και πρωτίστως και από τη νομοθεσία σχετικά με τις πληρωμές. Ωστόσο, από την εξέταση των σχετικών διατάξεων προέκυψε ότι αυτές δεν περιέχουν ούτε ρητή πρόβλεψη, ούτε αναφορά που να δικαιολογεί τη συλλογή ή την αποθήκευση καταλόγου όλων των εγκατεστημένων εφαρμογών στην κινητή συσκευή του υποκειμένου των δεδομένων.

Παράλληλα, η Αρχή διαπίστωσε παραβάσεις των υποχρεώσεων διαφάνειας. Κατά τη σύναψη της σύμβασης για την παροχή της υπηρεσίας mobile banking, η τράπεζα δεν παρείχε στους χρήστες σαφείς και επαρκείς πληροφορίες σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, κατά παράβαση των άρθρων 5 παρ.1α, 12 και 13 ΓΚΠΔ. Ειδικότερα, κατά τη λήψη της εφαρμογής, οι χρήστες είχαν πρόσβαση, μέσω συνδέσμου, σε γενικές πληροφορίες περί επεξεργασίας προσωπικών δεδομένων, οι οποίες απευθύνονταν σε επισκέπτες της ιστοσελίδας της τράπεζας και δεν περιείχαν καμία ειδική αναφορά στην επεξεργασία δεδομένων μέσω της εφαρμογής mobile banking. Η όποια αναφορά στη συγκεκριμένη επεξεργασία στις πληροφορίες για την επεξεργασία δεδομένων ήταν εξαιρετικά περιορισμένη, με αποτέλεσμα η δραστηριότητα αυτή να λαμβάνει χώρα, κατά το κρίσιμο μέρος της, χωρίς ουσιαστική ενημέρωση των υποκειμένων και με σημαντική δυσχέρεια πρόσβασης σε βασικές πληροφορίες για τα δεδομένα που συλλέγονταν.

Περαιτέρω, η κροατική αρχή έκρινε ότι η τράπεζα, κατά τον σχεδιασμό και την επιλογή του επίμαχου λογισμικού, δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε, ήδη εξ ορισμού, να διασφαλίζεται ότι υποβάλλονται σε επεξεργασία μόνο τα απολύτως αναγκαία προσωπικά δεδομένα, κατά παράβαση του άρθρου 25 παρ.2 ΓΚΠΔ, σε συνδυασμό με την αρχή της ελαχιστοποίησης του άρθρου 5 παρ.1γ’. Σύμφωνα με τα πορίσματα του ελέγχου, η τράπεζα μπορούσε να υιοθετήσει εναλλακτική λύση λιγότερο παρεμβατική στην ιδιωτική ζωή, όπως λύση που θα περιόριζε την κεντρική αποθήκευση μόνο σε πληροφορίες για εφαρμογές που περιλαμβάνονται σε προκαθορισμένη «μαύρη λίστα», αντί της καθολικής συλλογής του συνόλου των εγκατεστημένων εφαρμογών.

Ιδιαίτερη έμφαση δόθηκε και στο γεγονός ότι η επίμαχη δραστηριότητα συνεπαγόταν την επεξεργασία αδικαιολόγητα μεγάλου όγκου προσωπικών δεδομένων, δεδομένου ότι ορισμένες εφαρμογές ενδέχεται, εκ της φύσεώς τους, να αποκαλύπτουν, άμεσα ή έμμεσα, πληροφορίες που σχετίζονται ακόμη και με ειδικές κατηγορίες δεδομένων, όπως δεδομένα υγείας ή πεποιθήσεων. Το στοιχείο αυτό επιβεβαίωσε, κατά την κρίση της αρχής, ότι η εφαρμοζόμενη λύση δεν διασφάλιζε την αναγκαιότητα και την αναλογικότητα της επεξεργασίας σε σχέση με τον επιδιωκόμενο σκοπό.