Másfél millió eurós bírságot szabott ki a horvát adatvédelmi hatóság egy bankra a GDPR többszöri megértése miatt, miután a mobilbanki alkalmazás adatkezelési gyakorlatát aránytalannak és jogalap nélkülinek ítélte.
Komoly bírságot szabott ki az AZOP. Forrás: Erste (illusztráció)
Komoly GDPR-bírságot szabott ki a horvát adatvédelmi hatóság
Jelentős összegű, több millió eurós bírságot szabott ki egy horvátországi bankra a Horvát Adatvédelmi Hatóság az AZOP az általános adatvédelmi rendelet, a GDPR többszöri megértése miatt. A csütörtökön közölte döntését, a bank nevét azonban a hivatalos tájékoztatásban nem nevezte meg. Később az Erste Banka megerősítette, hogy az ügy őket érinti–számolt be a hírről a horvát index oldal.
Jogalap nélküli adatkezelést állapított meg a hatóság
Az AZOP közlése szerint a bank jogalap nélkül kezelte csaknem 434 ezer ügyfél személyes adatait. Az adatkezelés egy mobilbanki alkalmazásba épített szoftveren keresztül zajlott, amely az Android és a Huawei operációs rendszereken működő készülékek tartalmát vizsgálta. A hatóság a program többek között az általa kínált telefonon telepített alkalmazások teljes beállítását továbbította és tárolta a bank központi adatbázisában.
A horvát adatvédelmi hatóság álláspontja szerint az alkalmazás működése súlyos, aránytalan és indokolt beavatkozást jelentett az érintett magánszférájába. A vizsgálat arra a következtetésre jutott, hogy az ilyen jellegű adatgyűjtés nem állt arányban az elérni kívánt céllal, és minimális beavatkozó megoldások is rendelkezésre állnak.
Átláthatósági és technikai hiányosságokat is feltártak
Az AZOP megállapítása szerint a bank nem nyújtott megfelelő tájékoztatást az érintettek számára az adatkezelés jellegéről és céljáról. tervez a hatóság úgy ítélte meg, hogy a pénzintézet nem alkalmazott arányos technikai és szervezési ellátás az adatvédelem biztosítására. A hatóság külön kiemelte, hogy az alkalmazás által gyűjtött adatok alapján akár különleges személyes adatokra is következtetni lehetett.
Egy ügyfél bejelentése indította el az eljárást
A vizsgálat egy ügyfél beadványa nyomán indult el, amely érintett kifogásolta a mobilbanki alkalmazás működését. Az eljárás során az adatvédelmi hatóság részletesen elemezte az alkalmazott technológiát, az adatkezelési gyakorlatot és azok összhangját a GDPR előírásaival.
Az Erste Banka vitatja a hatóság megállapításait
Az Erste Banka közleményben reagált az ügyre, hogy megkapták az AZOP határozatát. A bank hangsúlyozta: a kifogásolt megoldást kizárólag az védelmet és a csalásokat megelőzés érdekében alkalmazták. Álláspontjuk szerint minden hatályos jogszabálynak megfelelően jártak el, beleértve a személyes adatok védelmére vonatkozó előírásokat is.
Az adatvédelmi hatóság közlése szerint a bírságot megállapító határozat jelenleg nem jogerős. A bank az átvételtől számított harminc napon belül közigazgatási pert indíthat az illetékes bíróságon. Ha él ezzel a lehetőséggel, az ügy jogi megítélése még hosszabb időre elhúzódhat.
A döntés komoly üzenetet jelent a pénzügyi szektornak
Az ügy ismét ráirányítja a figyelmet arra, hogy a pénzügyi intézmények digitális megoldásai fokozott adatvédelmi kockázatokat hordoznak. A hatósági határozat jelzés a banki szektor számára. A csalásmegelőzés és a biztonság nem írhatja felül az adatkezelés jogszerűségét és arányosságát, még fejlett technológiai megoldások alkalmazása esetén sem.
Jelen írás kizárólag tájékoztatási célt szolgál. A cikkben megjelenő információk nyilvános és mindenki számára elérhető adatok alapján kerültek felhasználásra.
Címlapkép forrása: Erste Bank (illusztráció)
