Több mint 12,5 millió eurós bírságot szabott ki az olasz adatvédelmi hatóság a Poste Italiane csoportra és annak kártyás fizetési üzletágára, a Postepayre. A döntés szerint a cégek több millió felhasználó személyes adatát jogellenesen kezelték, miközben a vizsgált mobilalkalmazások egyes funkciói a hatóság szerint túlzottan beavatkoztak az ügyfelek készülékeibe.
Több millió ügyfél adatkezelése miatt jött a bírság
Az olasz adatvédelmi hatóság hétfőn jelentette be, hogy összesen több mint 12,5 millió eurós bírságot szab ki a Poste Italiane-re és a Postepayre. A hatóság indoklása szerint a cégek több millió felhasználó személyes adatát jogellenesen kezelték. A Poste Italiane pedig ma már nemcsak hagyományos postai szolgáltatásokat nyújt, hanem pénzügyi és fizetési szolgáltatásokat is kínál, ezért az ügy egyszerre érinti a digitális ügyfélkezelést és a pénzügyi szolgáltatási szektort is – jelent meg a bírásgról szóló hír a Reuters oldalán.
A mobilappok egyes funkcióit találta túlzottan beavatkozónak a hatóság
Az olasz watchdog szerint a Poste mobilalkalmazásainak bizonyos funkciói, amelyeket a rosszindulatú szoftverek azonosítására használtak, a szükségesnél nagyobb mértékben avatkoztak be a felhasználók készülékeibe. A hatóság álláspontja szerint ezek a megoldások nem voltak szigorúan szükségesek a csalásmegelőzéshez.
A döntés egyik kulcspontja tehát az volt, hogy a csalás elleni védekezés és az adatminimalizálás elve között hol húzódik a jogszerű határ. A hatóság szerint a gyakorlat ezt a határt átlépte.
A bírság egyébként nem igazán jött jókor az olasz postának. Márciusban írtunk arról, hogy az olasz gazdaság egyik legnagyobb idei üzlete készül. A Poste Italiane 10,8 milliárd eurós ajánlatot tett a Telecom Italia felvásárlására. Ha az ügylet megvalósul, egy több mint 150 ezer embert foglalkoztató, hatalmas bevételű csoport jöhet létre.
Több adatvédelmi hiányosságot is megállapítottak
A hatóság több különálló adatvédelmi jogsértést is azonosított. Ezek között szerepelt a felhasználók nem megfelelő tájékoztatása. Valamint az is probléma volt, hogy nem készült megfelelő adatvédelmi hatásvizsgálat.
Ez azért lényeges, mert az ilyen hatásvizsgálat a GDPR-logika szerint különösen akkor fontos, ha egy szolgáltató nagy tömegben kezel személyes adatokat. De az olyan technikai megoldásoknál is, amelyek érdemben befolyásolják a felhasználók magánszféráját akkor is szükség van erre az eljárásra.
A Poste Italiane visszautasította a vádakat
A Poste Italiane közleményben utasította vissza a hatóság megállapításait. A vállalat azt közölte, hogy minden vádat elutasít, és ismételten hangsúlyozta eljárásának helyességét és átláthatóságát. A cég azt állította, hogy az ügyfelek készülékeiből csak technikai adatokat értek el jogszerűen. Mindezt a fizetési szolgáltatásokra vonatkozó szabályokkal összhangban voltak. Ezt kizárólag csalásellenes és rosszindulatú szoftverek elleni védelmi célból tette.
Érzékeny ügy lehet a digitális pénzügyi szolgáltatóknak is
Az ügy azért is figyelemre méltó, mert jól mutatja, mekkora kockázatot jelenthet, ha egy pénzügyi vagy fizetési szolgáltató a biztonsági indokokra hivatkozva a szükségesnél nagyobb körben fér hozzá ügyfél eszközeinek technikai adataihoz. A mostani döntés a Poste Italiane számárapénzügyi büntetést és reputációvesztést is jelent. Komoly jelzés lehet más európai szolgáltatóknak is arra, hogy az adatvédelmi hatóságok a csalásmegelőzési célból alkalmazott digitális eszközöket is szigorúan vizsgálják.
Jelen írás kizárólag tájékoztatási célt szolgál. A cikkben megjelenő információk nyilvánosak és mindenki számára elérhető adatok alapján kerültek felhasználásra.
Címlapkép forrása: Poste Italiane
