Z pohledu uživatele je tato funkce opodstatněná: stejně jako antivirový software se snaží detekovat nebezpečné chování dříve, než dojde ke škodě. Garante ale konstatoval, že provedení a transparence tohoto mechanismu byly v rozporu s několika ustanoveními GDPR.

Úřad ve své rozhodovací činnosti zaměřil na čtyři hlavní oblasti:

Právní titul: zpracování bylo opřeno o oprávněný zájem správce, ale Garante shledal, že posouzení vyváženosti (legitimate interest balancing test, LIA) bylo nedostatečné. Uživatelé nebyli o povaze a rozsahu detekce dostatečně informováni a neměli reálnou možnost se s takto invazivním zpracováním seznámit před prvním použitím aplikace.

Princip minimalizace dat (čl. 5 GDPR): množství technických údajů, které aplikace o zařízení sbíraly, převyšovalo to, co je nutné pro dosažení deklarovaného cíle. Garante uvedl, že část dat sloužila pro účely, které nesouvisely s detekcí malwaru – například širší profilování uživatele.

Transparentnost (čl. 13–14 GDPR): privacy notice, které uživatel viděl při instalaci aplikace, neuváděla srozumitelně, jaké konkrétní údaje budou sbírány a komu (případně kterému zpracovateli) budou předány.

Doba uchování: technická data se uchovávala déle, než bylo nutné pro samotnou detekci. Některé záznamy zůstávaly aktivní řadu měsíců i po tom, co transakce skončila.

Pokuta 12,5 milionu eur řadí toto rozhodnutí mezi nejvýznamnější sankce uložené v Itálii za rok 2026. V evropském kontextu jde o jeden z mála případů, kdy dozorový úřad postihl zpracování dat za bezpečnostním účelem – obvykle se totiž tato zpracování posuzují benevolentněji s ohledem na ochranu uživatelů. Garante tak vyslal jasný signál: oprávněný zájem na ochraně před podvody je legitimní, ale nemůže být blanketním titulem pro plošné sběry technických údajů, které jdou nad rámec nutné detekce.

Pro tuzemské subjekty zpracovávající osobní údaje s odůvodněním ochrany před podvody (banky, pojišťovny, poskytovatelé platebních služeb, ale i e-commerce) je rozhodnutí relevantní jako vodítko pro nastavení vlastních kontrolních mechanismů. Pokud aplikace sbírá technická data ze zařízení uživatele s cílem detekovat anomálie, je třeba: provést a pečlivě zdokumentovat LIA, omezit sběr na minimum nezbytné pro detekci, srozumitelně informovat uživatele již při prvním spuštění a stanovit přiměřené lhůty pro uchování (obvykle dny až týdny, ne měsíce).

Doplňkový bod, který Garante v rozhodnutí explicitně nezmiňuje, ale vyplývá z kontextu: pokud je detekce realizována zpracovatelem, který je třetí stranou (typicky dodavatel anti-fraud platformy), musí mít správce uzavřenou smlouvu podle čl. 28 GDPR a přesně vymezit, jaká data zpracovatel obdrží a co s nimi může dělat.

Italské správní právo umožňuje proti rozhodnutí Garante podat opravný prostředek, takže není vyloučeno, že Poste Italiane a PostePay výši sankce zpochybní u soudu. Vzhledem k charakteru zjištěných pochybení je ale málo pravděpodobné, že by soud rozhodnutí zcela zrušil. Spíše dojde k případnému snížení částky, jak to evropské soudy v posledních letech v některých případech učinily.

GDPRhub